bash脆弱性(2014/9/24公開)対応について

2014.09.29

はじめに

AWSチームの鈴木です。

2014/9/24、多くのLinuxディストリビューションのシェルとして採用されている「bash」に関する、脆弱性の報告がありました。

GNU bash の脆弱性に関する注意喚起

「bash」に危険度の高い脆弱性、修正パッチの適用と回避策の実施を

AWSがEC2用として提供しているLinux OSイメージ(AMI)にも当脆弱性の影響が及びます。 当記事ではその対応方法についてまとめます。

2014/10/01 update

yumによるパッチ適用、確認方法について、追記、修正を実施しました。

対処方法

パッチ適用済みのパッケージがリリースされています。 パッケージ管理システム(yum, apt-getなど)を利用してアップデートを実施します。

Amazon Linux

公式情報

ALAS-2014-418

ALAS-2014-419

アップデート

1)事前にキャッシュをクリア

$ sudo yum clean all

2)/etc/system-release で利用中のリリースバージョンを確認

$ cat /etc/system-release

※表示されたリリースバージョンごとに、下記3)の手順を参照ください。

3)各リリースバージョンにより以下を実行

Amazon Linux 2014.09の場合(最新版)
$ sudo yum update bash
Amazon Linux 2014.03の場合
$ sudo yum update --releasever=2014.03 bash
Amazon Linux 2013.09の場合
$ sudo yum update --releasever=2013.09 bash
Amazon Linux 2013.03, 2012.09, 2012.03, 2011.09の場合
$ sudo yum update --releasever=2013.03 bash

注意点 (10/1追記)

最新リリースバージョン以外のAmazon Linux環境をご利用中の場合、 「yum update」を実行する際、リリースバージョンの指定(--releasever=YYYY.MM)を行う事をお勧めします。

リリースバージョンの指定を省略した場合、glibcなどのライブラリパッケージが bashパッケージと同時にアップデートされる可能性があり、関連するアプリケーションの動作に 深刻な影響を及ぼすことがありますのでご注意ください。

参考情報

Amazon Linuxのリリースバージョンを固定する

確認

Amazon Linux 2014.09,2014.03の環境では、「4.1.2-15.21」以降のバージョンに アップデートされた事を確認して下さい。

$ rpm -qa | grep bash
bash-4.1.2-15.21.amzn1.x86_64

もしくは、bashのrpmパッケージのchangelogより、「CVE 2014-7169」、「CVE-2014-6271」の修正パッチが含まれている事を確認して下さい。

$ rpm -q --changelog  bash | more
* 金  9月 26 2014 Rodrigo Novo <rodarvus@amazon.com>
- Added two remaining patches to fix CVE 2014-7169 (variables-affix & parser-oob)

* 木  9月 25 2014 Rodrigo Novo <rodarvus@amazon.com>
- Added patch eol-pushback.patch, fixes CVE-2014-7169

* 水  9月 24 2014 Matt Wilson <msw@amazon.com>
- apply patch for CVE-2014-6271

Ubuntu

公式情報

USN-2363-2: Bash vulnerability

アップデート

$ sudo apt-get update
$ sudo apt-get install bash

確認

$ dpkg --list | grep "GNU Bourne Again SHell"
ii  bash                             4.3-7ubuntu1.4                amd64        GNU Bourne Again SHell

まとめ

今回のbashの脆弱性については、既に攻撃事例も報告されています。

First Shellshock botnet attacks Akamai, US DoD networks

シェルスクリプトで書かれたCGIだけでなく、 各種フレームワークの外部コマンドとして実装されている機能(メール送信など)でも、 当脆弱性の影響が及ぶ可能性があります。 特に公開サーバに関しては早急な対応をおすすめします。