お客様各位
2014年9月29日
株式会社イーツ
【セキュリティ情報アナウンスメント】bash脆弱性について
平素より、イーツに格別のご愛顧を賜り、誠にありがとうございます。
既に一部報道でも伝えられていますように、Linux系OSで採用されております、シェルプログラムbashの環境変数の処理における脆弱性が確認されています。CGI等でOS内部のコマンドを起動する場合に、外部から悪意あるコマンドの実行を行われる可能性がございます。
対象のBashのバージョンは下記となります。
bash 4.3 Official Patch 25 およびそれ以前
bash 4.2 Official Patch 48 およびそれ以前
bash 4.1 Official Patch 12 およびそれ以前
bash 4.0 Official Patch 39 およびそれ以前
bash 3.2 Official Patch 52 およびそれ以前
bash 3.1 Official Patch 18 およびそれ以前
bash 3.0 Official Patch 17 およびそれ以前
現在ご利用のパッケージバージョンは下記の方法でご確認頂けます。
> rpm -q bash
本脆弱性の対応には、修正版へのupdateが必要となります。rpmパッケージの場合、更新は次のように行って下さい。
> yum update bash
ディストリビューションにおける対応済みパッケージは以下のようになります。
[Red Hat Enterprise Linux (v. 5 server) - i386]
対応済み : 3.2-33.el5_11.4以降
[Red Hat Enterprise Linux (v. 5 server) - x86_64]
対応済み : 3.2-33.el5_11.4以降
[Red Hat Enterprise Linux Server (v. 6) - i386]
対応済み : 4.1.2-15.el6_5.2以降
[Red Hat Enterprise Linux Server (v. 6) - x86_64]
対応済み : 4.1.2-15.el6_5.2以降
[CentOS 5 - i386]
対応済み : 3.2-33.el5_10.4以降
[CentOS 5 - x86_64]
対応済み : 3.2-33.el5_10.4以降
[CentOS 6 - i386]
対応済み : 4.1.2-15.el6_5.2以降
[CentOS 6 - x86_64]
対応済み : 4.1.2-15.el6_5.2以降
特にCentOSに関して、参照するRPMリポジトリのミラーサーバによっては、更新パッケージが未だ届いていない場合もございますので、ご了承ください。
本件については、その内容を当社が保証するものではございません。内容を充分ご理解の上、お客様の責任においてご対応頂く必要がございます事をご理解下さいますようお願い致します。
詳しくはIPA(独立行政法人情報処理推進機構)のホームページ等でもご確認頂けます。
http://www.ipa.go.jp/security/ciadr/vul/20140926-bash.html
イーツでは、今後もクラウドサービスを中心とした高品質データセンタソリューションのラインナップを日々拡充し、より多くのお客様にご満足いくサービスの提供を目指してまいります。引き続き、変わらぬご愛顧を賜りますようお願い申し上げます。
※【セキュリティ情報アナウンスメント】について
本件は、イーツの提供する各種サービスをご利用のお客様に、セキュリティ注意喚起の為、各種脆弱性の情報等を公開するものです。本文にてご紹介するセキュリティ脆弱性等が、必ずしもお客様のシステムに該当する訳ではございません。内容をご確認の上、対応の必要性等をご検討頂けますようお願い致します。
サービス企画部 石黒
電話: 03-3207-1255
E-mail: info@i2ts.com
