UNIXおよびLinuxで広く使われているシェル「Bourne Again Shell(Bash)」に重大な脆弱性「CVE-2014-6271」が確認され、米Red Hatなどが注意を呼びかけている。同脆弱性は攻撃者に任意のコマンドの実行を許可してしまうおそれがある。

 Red Hatが現地時間2014年9月24日に公開したブログ記事によると、攻撃者は一定の条件のもと、特別に細工した環境変数を使って脆弱性を突き、環境変数に含まれる不正なコマンドをリモートで実行できる。

 Bashの開発元からすぐにパッチがリリースされたが、Red Hatは9月25日に「CVE-2014-6271のパッチは不十分」とする指摘を追記している。

 複数の海外メディアの報道(米New York Times英Financial Timesなど)によると、問題の脆弱性は「Shellshock」と名付けられ、米国立標準技術研究所(NIST)が出した脅威評価は10段階中「10」(最も重大)だという。今春世間を騒がせたOpenSSLの脆弱性「Heartbleed(心臓出血)」(関連記事)より被害が拡大するとの見方もある。Heartbleedはサーバーのメモリーからデータを盗み出すことのみに使われたのに対し、Shellshockは攻撃者がシステムの制御を奪い、犯罪目的やサイバースパイなどに悪用することを可能にしてしまう。

 また、HeartbleedはOpenSSLの一部バージョンが対象だったが、Shellshockはかなり以前から存在していると見られ、20年以上前の古いデバイスも影響を受ける可能性がある。UNIXおよびLinuxは多数の重要システムやWebサーバーに使用されており、米AppleのパソコンOS「OS X」もUNIXをベースにしている(米PCMag.comの報道)。

[発表資料へ]