bash脆弱性の対応における注意

みなさんは大丈夫なのかもしれませんが、2点ほど危ないなあと思ったので書き留めておきます。

9月24日、bashにCriticalな脆弱性が発見されCVE-2014-6271として注意喚起が行われた。これに対してパッチは公開されたようですが、完全に対応が出来ていなかったため、CVE-2014-7169として新たに注意喚起が行われている状況です。

そして、9月26日、CVE-2014-7169に対応したパッチが公開されセキュリティアドバイザリーがなされています。

こうやって近しい日付で2段階に注意喚起が行われているため昨日の段階で対応された方は次の日に同じ話題となっていても同じ脆弱性のことを言ってるんだなと安心しきってしまう恐れがあるように思います。4桁目を変えてはありますが番号も似ているし危ないなあと思った次第です。

対応するパッチに不備があると、注意喚起も新規に発行されるようになっているんだとは思いますがこのあたりをちゃんと認識しておく必要があるようですね。

■CVE-2014-6271
https://access.redhat.com/security/cve/CVE-2014-6271
redhatのerrata発行(セキュリティアドバイザリー)
https://rhn.redhat.com/errata/RHSA-2014-1293.html

■CVE-2014-7169
https://access.redhat.com/security/cve/CVE-2014-7169
redhatのerrata発行(セキュリティアドバイザリー)
https://rhn.redhat.com/errata/RHSA-2014-1306.html

また、もう一つの注意点として
# yum update bash
などで対応されると思いますが、例えばパブリックミラーにより同期が間に合わず修正版が上がっていないところも見受けられます。アップデートは必要がないと出ていても別のミラーには存在していることがありますので7169に対応しているバージョンなのかどうかをちゃんと確認することをおすすめします。

OS(x86_64) CVE-2014-6271 CVE-2014-7169
RHEL5 bash-3.2-33.el5.1 bash-3.2-33.el5_11.4
RHEL6 bash-4.1.2-15.el6_5.1 bash-4.1.2-15.el6_5.2
RHEL7 bash-4.2.45-5.el7_0.2 bash-4.2.45-5.el7_0.4

PAGE TOP