2014年9月28日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。
GNU bashの脆弱性(CVE-2014-6271、CVE-2014-7169他)(2014/09/24)
UNIXで使用するシェルの一つであるGNU bash(Bourne-Again Shell)の環境変数の処理には、任意のコード実行などを許してしまう脆弱性(CVE-2014-6271、CVE-2014-7169他)が存在します。脆弱性を悪用する検証コードの存在や脆弱性を悪用する侵害活動も確認されています。この問題は、別名shellshock問題と呼ばれており、Webサーバー上で動作するCGIプログラムやLinuxベース組み込みシステムなど、非常に広範囲にわたって影響を与えるものです。
■9月24日
GNU bashの環境変数の処理に脆弱性(CVE-2014-6271)が存在することが報告され、Linuxディストリビュータから対策版がリリースされました。
■9月25日
脆弱性(CVE-2014-6271)に修正漏れがあることが確認されました。修正漏れに対して脆弱性識別子CVE-2014-7169が割り当てられました。
■9月26日
Linuxディストリビュータから脆弱性(CVE-2014-7169)の対策版がリリースされました。Red Hatから、領域外のメモリーアクセスによる脆弱性(CVE-2014-7186)と境界条件の判定(off-by-one)による脆弱性(CVE-2014-7187)の存在が報告されました。
■9月27日
信頼できないポインターの参照(CVE-2014-6277)と環境変数の処理の脆弱性に修正漏れ(CVE-2014-6278)の存在が報告されました。