ブログトップ 記事一覧 ログイン 無料ブログ開設

piyolog RSSフィード

2014-09-28

Shellshockの影響が及ぶケースをまとめてみた

| 06:28 |  Shellshockの影響が及ぶケースをまとめてみたを含むブックマーク

ここではBash脆弱性 ShellShockの影響が及ぶケースとして情報が出ているものをまとめます。記載情報はpiyokangoが見つけた情報をまとめているだけであり、当該脆弱性による影響が及ぶケースをすべて網羅しているわけではありませんのでご注意ください。

関連情報

影響が及ぶケースの前提条件

  • 対象のシステムでBash脆弱性(CVE-2014-6271、CVE-2014-7169)が修正されていない

攻撃方法

方法具体例条件
能動ExploitHTTPリクエストやメール等を使って送り付ける
(参考)BASHの脆弱性でCGIスクリプトにアレさせてみました
攻撃者が対象へ直接接続可能
受動Exploitを仕込んだ罠ページを設置し攻撃対象に踏ませる
(参考)ファイアウォール内のサーバに対するShellshockを利用した攻撃
攻撃者が対象のURLを把握、または推測可能

CVE-2014-6271/CVE-2014-7169により影響が及ぶケース

ケース必要条件検証情報等
シェルスクリプト(1) CGIで動作*1 *2
php(1) CGIモードで動作
(2) 以下の関数を使用
・system関数
・main関数
・mb_send_mail関数
*3 *4 *5 *6
perl(1) CGIモードで動作
(2) メタ文字を使って外部コマンド呼び出し
*7 *8 *9
python(1) CGIモードで動作
(2) shell=Trueで外部コマンド呼び出し
*10 *11
ruby(1) CGIモードで動作
(2) メタ文字を使って外部コマンド呼び出し
*12
SSI(1) 外部コマンド呼び出しを行っている*13 *14
qmail(1) 以下の様な設定時
・受信時にシェルキック
・.forward等でパイプを使用
*15 *16 *17
SSH(1) ログインしている必要あり*18 *19 *20 *21 *22
Telnet不明*23
dhcp*24 *25
SIP Proxy*26
PureFTP(1) 認証できる必要あり*27
OpenVPN*28 *29
  • 条件はざっくりしすぎているので、詳細は検証された方の情報を参照下さい。

ベンダの関連情報

ディストリCVE-2014-6271CVE-2014-7169CVE-2014-7186
CVE-2014-7187
CVE-2014-6277
CVE-2014-6278
関連情報/修正バージョン
RHELFixedFixedFixedFixedRHSA-2014:1306-1
bash-3.2-33.el5_11.4 (RHEL5)
bash-4.1.2-15.el6_5.2 (RHEL6)
bash-4.2.45-5.el7_0.4 (RHEL7)
詳細はAdvisory参照のこと
FedoraFixedFixed???bash-4.2.48-2.fc19 (Fedora 19)
bash-4.2.48-2.fc20 (Fedora 20)
bash-4.3.25-2.fc21 (Fedora 21)
CentOSFixedFixed?? bash-3.2-33.el5_10.4 (CentOS 5)
bash-4.1.2-15.el6_5.2 (CentOS 6)
bash-4.2.45-5.el7_0.4 (CentOS 7)
Amazon LinuxFixedFixedFixed?CVE-2014-6271 Advisory
ALAS-2014-418 (CVE-2014-6271)
ALAS-2014-419 (CVE-2014-7169/7186/7187)
bash-4.1.2-15.21.amzn1
UbuntuFixedFixedFixed?USN-2362-1(CVE-2014-6271)
USN-2363-1(CVE-2014-7169)
USN-2364-1
4.1-2ubuntu3.4(Ubuntu 10.04 LTS)
4.2-2ubuntu2.5 (Ubuntu 12.04 LTS)
4.3-7ubuntu1.4 (Ubuntu 14.04 LTS)
openSuSEFixedFixedFixedFixedCVE-2014-6271 / Bug 896776
CVE-2014-7169 / Bug 898346
CVE-2014-7186
CVE-2014-7187
CVE-2014-6277
CVE-2014-6278
3.2-147.22.1 (SuSE11)
3.1-24.34.1 (SuSE10)
DebianFixedFixedFixed?DSA-3032-1 (CVE-2014-6271)
DSA-3035-1 (CVE-2014-7169)
(CVE-2014-7186)
(CVE-2014-7187)
4.1-3+deb6u2 (squeeze (lts))
4.2+dfsg-0.1+deb7u3 (wheezy(security))
4.3-9.2 (sid)
GentooFixedFixedFixed?Bug 523592(CVE-2014-7169)
Bug 523742 (CVE-2014-7186/CVE-2014-7187)
bash-3.1_p20
bash-3.2_p54
bash-4.0_p41
bash-4.1_p14
bash-4.2_p50
Scientific LinuxFixed???SLSA-2014:1293-1
bash-3.2-33.el5.1(SL5)
bash-4.1.2-15.el6_5.1(SL6)
SolarisFixedFixed??Status for Solaris patches
slackware linuxFixedFixed??SSA:2014-267-01 (CVE-2014-6271)
SSA:2014-268-01 (CVE-2014-7169)
3.1.018 (Slackware 13)
4.1.012 (Slackware 13.1/13.37)
4.2.048 (Slackware 14/14.1)
4.3.025 (current)
Mac OSXFixedFixed??OS X bash Update 1.0
OS X Lion
OS X Mountain Lion
OS X Mavericks
Arch LinuxFixedFixed??svntogit/packages.git
bash 4.3.026-1

「?」は対応済みか不明の箇所です。

他影響を受ける製品

ベンダ・製品関連情報
ArubaNetworksAID-09252014
Blue CoatSA82
CACA20141001-01
CheckpointCheck Point Response to CVE-2014-6271 & CVE-2014-7169 Bash Code Injection vulnerability
Ciscocisco-sa-20140926-bash
CitrixCitrix Security Advisory for CVE-2014-6271
CygwinUpdated: bash-4.1.12-5
Updated: bash-4.1.16-8
F5(BIG-IP等)GNU Bash vulnerabilities CVE-2014-6271 and CVE-2014-7169
F-Secure(PDF)【お知らせ】 GNU bash の脆弱性 (CVE-2014-6271/CVE-2014-7169) について
FortinetRemote Exploit Vulnerability in Bash - (Shellshock)
IBMBash vulnerable to CVE-2014-6271 and CVE-2014-7169
IBM HTTP Server and IBM WebSphere Application Server (CVE-2014-6271, CVE-2014-7169)
IBM Security QRadar Products: Installing the fix for CVE-2014-6271/CVE-2014-7169
ImpervaImperva Security Response for CVE-2014-6271 (AKA ”Shellshock”)
Juniper2014-09 Out of Cycle Security Bulletin: Multiple Products: Shell command injection vulnerability in Bash (CVE-2014-6271, CVE-2014-7169)
McAfeeMcAfee Security Bulletin - The Bash Shellshock Code Injection Exploit Updates
QnapQNAP Encourages Users to Take Actions to Protect their Turbo NAS from Potential Bash Code Injection
QNAP Releases New QTS for the Turbo NAS with Fix on GNU Bash Environment Variable Command Injection Vulnerability
OracleOracle Security Alert for CVE-2014-7169
PhusionSecurity advisory: Phusion Passenger and the CVE-2014-6271 Bash vulnerability
SophosSophos products and the Bash vulnerability (Shellshock)
Solitonbash脆弱性(CVE-2014-6271 等)の弊社開発製品への影響について
SplunkBash Vulnerabilities (CVE-2014-6271, CVE-2014-7169), September 25th, 2014
Splunk response to ”shellshock” vulnerabilities
SymantecAre Symantec Encryption products vulnerable to the BASH ”ShellShock” vulnerability (CVE-2014-6271)
TrendMicroアラート/アドバイザリ : Bash に存在する「Shellshock」脆弱性 (CVE-2014-6271/CVE-2014-7169) に対する弊社製品での対応について
WebminChanges since Webmin version 1.700
ZabbixBashのセキュリティ修正
セゾン情報システムズ(PDF)HULFT Series 製品における bash の脆弱性(CVE-2014-6271、CVE-2014-7169)について
Century SystemsFutureNet NXR,WXRシリーズ
FutureNet CMS-1200
FutureNet XRシリーズ
[FutureNet RAシリーズ
Miracle LinuxBash の脆弱性 (CVE-2014-7169, CVE-2014-6271) の影響と対処
ヤマハGNU Bash 「OS コマンドインジェクション」の脆弱性について
BuffaloGNU BashにおけるOSコマンドインジェクションの脆弱性
IODATAGNU bash の脆弱性に関する弊社調査・対応状況について
富士通JVNVU#97219505 GNU Bash に OS コマンドインジェクションの脆弱性
NECbashの脆弱性(CVE-2014-6271、CVE-2014-7169)の影響について
日立bashの脆弱性(CVE-2014-6271,CVE-2014-7169他)による影響について

補足

  • 製品ごとの情報(これも私が見かけたものだけですが)は関連情報リンク先の「各ベンダの関連情報」にまとめています。
  • 表中条件欄に数字「(1)、(2)」とある場合はAND条件になります。

更新履歴

  • 2014/09/28 AM 新規作成
  • 2014/09/28 AM 補足追記
  • 2014/09/28 PM ケース追記
  • 2014/10/01 AM ケース追記
  • 2014/10/03 PM 元記事から影響を受けるディストリ、製品表を移動

*1http://techblog.clara.jp/2014/09/bash-vulnerability-vol2-verification/

*2http://www.walbrix.com/jp/blog/2014-09-bash-code-injection.html

*3http://www.netagent-blog.jp/archives/51996406.html

*4http://dogmap.jp/2014/09/25/bash-specially-crafted-environment-variables-code-injection-attack/

*5https://twitter.com/ockeghem/status/515386691532517376

*6https://twitter.com/ito_yusaku/status/514961949570760704

*7http://www.netagent-blog.jp/archives/51996406.html

*8https://twitter.com/ito_yusaku/status/514962430267363328

*9http://boscono.hatenablog.com/entry/2014/09/26/051746

*10http://www.walbrix.com/jp/blog/2014-09-bash-code-injection.html

*11http://qiita.com/_yyu_/items/5eaba10d6c291a30ed67

*12http://qiita.com/_yyu_/items/5eaba10d6c291a30ed67

*13https://twitter.com/ymzkei5/status/515407741485985792

*14http://www.netagent-blog.jp/archives/51996406.html

*15https://twitter.com/ymzkei5/status/515316061340590080

*16https://twitter.com/ymzkei5/status/515335520109330432

*17http://marc.info/?l=qmail&m=141183309314366&w=2

*18http://tsekine.blogspot.jp/2014/09/bash.html

*19https://x86-64.jp/blog/CVE-2014-6271

*20http://mt-caret.hatenablog.com/entry/2014/09/25/012807

*21http://unix.stackexchange.com/questions/157477/how-can-shellshock-be-exploited-over-ssh

*22https://twitter.com/JZdziarski/status/515205581226123264

*23http://qiita.com/richmikan@github/items/5f54114a46e64178133d

*24https://twitter.com/gmillard/status/515197422310793217

*25http://n.pentest.ninja/?p=31711

*26https://github.com/zaf/sipshock

*27https://gist.github.com/jedisct1/88c62ee34e6fa92c31dc

*28http://sprunge.us/BGjP

*29https://news.ycombinator.com/item?id=8385332