• ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • 日経BP
  • PR

  • PR

  • PR

  • PR

  • PR

ニュース

「Bash」に重大な脆弱性、Heartbleed以上に危険との見方も

鈴木 英子=ニューズフロント 2014/09/26 ITpro

 UNIXおよびLinuxで広く使われているシェル「Bourne Again Shell(Bash)」に重大な脆弱性「CVE-2014-6271」が確認され、米Red Hatなどが注意を呼びかけている。同脆弱性は攻撃者に任意のコマンドの実行を許可してしまうおそれがある。

 Red Hatが現地時間2014年9月24日に公開したブログ記事によると、攻撃者は一定の条件のもと、特別に細工した環境変数を使って脆弱性を突き、環境変数に含まれる不正なコマンドをリモートで実行できる。

 Bashの開発元からすぐにパッチがリリースされたが、Red Hatは9月25日に「CVE-2014-6271のパッチは不十分」とする指摘を追記している。

 複数の海外メディアの報道(米New York Times英Financial Timesなど)によると、問題の脆弱性は「Shellshock」と名付けられ、米国立標準技術研究所(NIST)が出した脅威評価は10段階中「10」(最も重大)だという。今春世間を騒がせたOpenSSLの脆弱性「Heartbleed(心臓出血)」(関連記事)より被害が拡大するとの見方もある。Heartbleedはサーバーのメモリーからデータを盗み出すことのみに使われたのに対し、Shellshockは攻撃者がシステムの制御を奪い、犯罪目的やサイバースパイなどに悪用することを可能にしてしまう。

 また、HeartbleedはOpenSSLの一部バージョンが対象だったが、Shellshockはかなり以前から存在していると見られ、20年以上前の古いデバイスも影響を受ける可能性がある。UNIXおよびLinuxは多数の重要システムやWebサーバーに使用されており、米AppleのパソコンOS「OS X」もUNIXをベースにしている(米PCMag.comの報道)。

[発表資料へ]

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

  • 【だから相手を怒らせる】

    相手を怒らせてしまう7つのパターン

     「俺は要員の話をしているんだ!コストの話なんてしていない」――。SIベンダーのユー・エス・イーでシステム提案などを手掛ける宮原祐司氏(営業戦略推進本部 副本部長)は、かつてユーザー企業のシステム部長をひどく怒らせた経験がある。

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る