2014年シェルショック脆弱性
From Wikipedia, the free encyclopedia
2014年9月に公表されたBashについての一群の脆弱性(CVE-2014-6271 [1] 等)の発見は、俗にシェルショック(Shellshock)、バッシュドア(bashdoor)と呼ばれている。 関連して6つの脆弱性が登録された。
これらの脆弱性のうち当初の主要なものは遠隔(リモート)からコマンドの実行を許してしまうものであり、直接的または間接的にBashスクリプトを実行しているサーバに対して巧妙に細工されたデータを注入することによって再現する。 この脆弱性は、影響範囲が広いのみならず、悪用することが容易であり、また悪用された場合の被害も大きいため深刻である [2] [3]。
2014年9月12日、発見者のStéphane Chazelasは、Bashのメンテナー(保守者)であるシェト・ラメイに連絡し、セキュリティ専門家と共に修正プログラムも開発した [4]。
Bashは、様々なUnixベースのシステムにおいてコマンドラインやコマンドスクリプトを実行するプログラムとして使われている。 典型的な用例として、Linuxで動作しているWebサーバのCGIスクリプトの処理をbashが担っているケース、OpenSSHサーバがもつForceCommand機能に処理させるケース等が挙げられる。
最初に登録された3つの脆弱性のうち、主要なもの(CVE-2014-6271[1])は、Bashシェルにある環境変数で関数を定義できる機能に起因して、悪意あるコマンドを注入できてしまうものであった。
2014年9月24日、当初の主要な脆弱性(CVE-2014-6271[1])を解消するために修正プログラムが用意されたが、これでは想定されるすべての脅威に対応できていないことが判明して、同日に別の脆弱性(CVE-2014-7169[5])として登録された。
2014年9月25日、関連する脆弱性が2つ(CVE-2014-7186とCVE-2014-7187)追加登録され、翌2014年9月26日、これらがサービス不能に陥る脆弱性であることが公表された。
2014年9月27日、それまで内容が公表されていなかった当初からの2つの脆弱性(CVE-2014-6277とCVE-2014-6278)について、それぞれの概要が公表された。