図●JPCERT/CCが実施したGNU bashに関する脆弱性の検証結果(発表資料より引用)
図●JPCERT/CCが実施したGNU bashに関する脆弱性の検証結果(発表資料より引用)
図中の*1は、JPCERT/CCが公開されている検証コードを用いて脆弱性への影響を確認したことを、*2は発見者がパッチ適用により影響を軽減できると報告していることを示している
[画像のクリックで拡大表示]

 JPCERTコーディネーションセンター(JPCERT/CC)は2014年9月30日、LinuxなどUNIXベースのOSで広く使われているシェル「GNU Bash」で2014年9月24日に見つかった非常に危険な脆弱性、いわゆる「ShellShock」に関して、現在公式に提供されているパッチでは防ぎ切れない攻撃があるとし、追加の注意喚起を行った。

 ShellShock関連の脆弱性は9月30日現在、大きく5種類報告されている。これらの脆弱性に対して、GNUプロジェクトが配布しているGNU bash 4.3のソースファイルにパッチを累積的に適用し、コンパイルして検証したところ(OSはCentOS 6.4)、最新バージョンである「4.3.27」にアップデートしても脆弱性の影響を受けることを確認したという()。

 なお、ソースコードからのコンパイルではなく、ディストリビューターが配布しているbashパッケージを導入すれば、CVE-2014-6277/6278として報告されている脆弱性以外は影響を受けない事実を確認できたことも併せて発表している(図参照)。

 JPCERT/CCでは、こうしたディストリビューターによる修正済みバージョンの提供を受けられない、またはパッチの適用が困難なユーザーに対して、(1)GNU Bashを代替のシェルに入れ替える、(2)WAF(Web Application Firewall)やIDS(Intrusion detection system)を使って脆弱性のあるサービスへの入力にフィルターをかける、(3)継続的なシステム監視を行う---などの対策を勧めている。