piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

Shellshockの影響が及ぶケースをまとめてみた

脆弱性まとめ

ここではBash脆弱性 ShellShockの影響が及ぶケースとして情報が出ているものをまとめます。記載情報はpiyokangoが見つけた情報をまとめているだけであり、当該脆弱性による影響が及ぶケースをすべて網羅しているわけではありませんのでご注意ください。

関連情報

影響が及ぶケースの前提条件

  • 対象のシステムでBash脆弱性(CVE-2014-6271、CVE-2014-7169)が修正されていない

攻撃方法

方法 具体例 条件
能動的 ExploitをHTTPリクエストやメール等を使って送り付ける
(参考)BASHの脆弱性でCGIスクリプトにアレさせてみました		 攻撃者が対象へ直接接続可能
受動的 Exploitを仕込んだ罠ページを設置し攻撃対象に踏ませる
(参考)ファイアウォール内のサーバに対するShellshockを利用した攻撃		 攻撃者が対象のURLを把握、または推測可能

CVE-2014-6271/CVE-2014-7169により影響が及ぶケース

ケース 他必要条件等 検証情報等
シェルスクリプト (1) CGIで動作 *1 *2
php (1) CGIモードで動作
(2) 以下の関数を使用
・system関数
・main関数
・mb_send_mail関数		 *3 *4 *5 *6
perl (1) CGIモードで動作
(2) メタ文字を使って外部コマンド呼び出し		 *7 *8 *9
python (1) CGIモードで動作
(2) shell=Trueで外部コマンド呼び出し		 *10 *11
ruby (1) CGIモードで動作
(2) メタ文字を使って外部コマンド呼び出し		 *12
SSI (1) 外部コマンド呼び出しを行っている *13 *14
qmail (1) 以下の様な設定時
・受信時にシェルキック
・.forward等でパイプを使用		 *15 *16 *17
SSH (1) ログインしている必要あり *18 *19 *20 *21 *22
Telnet 不明 *23
dhcp *24 *25
SIP Proxy *26
PureFTP (1) 認証できる必要あり *27
OpenVPN *28 *29
  • 条件はざっくりしすぎているので、詳細は検証された方の情報を参照下さい。

各ベンダの関連情報

ディストリ CVE-2014-6271 CVE-2014-7169 CVE-2014-7186
CVE-2014-7187		 CVE-2014-6277
CVE-2014-6278		 関連情報/修正バージョン
RHEL Fixed Fixed Fixed Fixed RHSA-2014:1306-1
bash-3.2-33.el5_11.4 (RHEL5)
bash-4.1.2-15.el6_5.2 (RHEL6)
bash-4.2.45-5.el7_0.4 (RHEL7)
詳細はAdvisory参照のこと
Fedora Fixed Fixed? ? ? bash-4.2.48-2.fc19 (Fedora 19)
bash-4.2.48-2.fc20 (Fedora 20)
bash-4.3.25-2.fc21 (Fedora 21)
CentOS Fixed Fixed ? ? bash-3.2-33.el5_10.4 (CentOS 5)
bash-4.1.2-15.el6_5.2 (CentOS 6)
bash-4.2.45-5.el7_0.4 (CentOS 7)
Amazon Linux Fixed Fixed Fixed ? CVE-2014-6271 Advisory
ALAS-2014-418 (CVE-2014-6271)
ALAS-2014-419 (CVE-2014-7169/7186/7187)
bash-4.1.2-15.21.amzn1
Ubuntu Fixed Fixed Fixed ? USN-2362-1(CVE-2014-6271)
USN-2363-1(CVE-2014-7169)
USN-2364-1
4.1-2ubuntu3.4(Ubuntu 10.04 LTS)
4.2-2ubuntu2.5 (Ubuntu 12.04 LTS)
4.3-7ubuntu1.4 (Ubuntu 14.04 LTS)
openSuSE Fixed Fixed Fixed Fixed CVE-2014-6271 / Bug 896776
CVE-2014-7169 / Bug 898346
CVE-2014-7186
CVE-2014-7187
CVE-2014-6277
CVE-2014-6278
3.2-147.22.1 (SuSE11)
3.1-24.34.1 (SuSE10)
Debian Fixed Fixed Fixed ? DSA-3032-1 (CVE-2014-6271)
DSA-3035-1 (CVE-2014-7169)
(CVE-2014-7186)
(CVE-2014-7187)
4.1-3+deb6u2 (squeeze (lts))
4.2+dfsg-0.1+deb7u3 (wheezy(security))
4.3-9.2 (sid)
Gentoo Fixed Fixed Fixed ? Bug 523592(CVE-2014-7169)
Bug 523742 (CVE-2014-7186/CVE-2014-7187)
bash-3.1_p20
bash-3.2_p54
bash-4.0_p41
bash-4.1_p14
bash-4.2_p50
Scientific Linux Fixed ? ? ? SLSA-2014:1293-1
bash-3.2-33.el5.1(SL5)
bash-4.1.2-15.el6_5.1(SL6)
Solaris Fixed Fixed ? ? Status for Solaris patches
slackware linux Fixed Fixed ? ? SSA:2014-267-01 (CVE-2014-6271)
SSA:2014-268-01 (CVE-2014-7169)
3.1.018 (Slackware 13)
4.1.012 (Slackware 13.1/13.37)
4.2.048 (Slackware 14/14.1)
4.3.025 (current)
Mac OSX Fixed Fixed ? ? OS X bash Update 1.0
OS X Lion
OS X Mountain Lion
OS X Mavericks
Arch Linux Fixed Fixed ? ? svntogit/packages.git
bash 4.3.026-1

「?」は対応済みか不明の箇所です。

他影響を受ける製品

ベンダ・製品 関連情報
ArubaNetworks AID-09252014
Blue Coat SA82
CA CA20141001-01
Checkpoint Check Point Response to CVE-2014-6271 & CVE-2014-7169 Bash Code Injection vulnerability
Cisco cisco-sa-20140926-bash
Citrix Citrix Security Advisory for CVE-2014-6271
Cygwin Updated: bash-4.1.12-5
Updated: bash-4.1.16-8
F5(BIG-IP等) GNU Bash vulnerabilities CVE-2014-6271 and CVE-2014-7169
F-Secure (PDF)【お知らせ】 GNU bash の脆弱性 (CVE-2014-6271/CVE-2014-7169) について
Fortinet Remote Exploit Vulnerability in Bash - (Shellshock)
IBM Bash vulnerable to CVE-2014-6271 and CVE-2014-7169
IBM HTTP Server and IBM WebSphere Application Server (CVE-2014-6271, CVE-2014-7169)
IBM Security QRadar Products: Installing the fix for CVE-2014-6271/CVE-2014-7169
Imperva Imperva Security Response for CVE-2014-6271 (AKA "Shellshock")
Juniper 2014-09 Out of Cycle Security Bulletin: Multiple Products: Shell command injection vulnerability in Bash (CVE-2014-6271, CVE-2014-7169)
McAfee McAfee Security Bulletin - The Bash Shellshock Code Injection Exploit Updates
Qnap QNAP Encourages Users to Take Actions to Protect their Turbo NAS from Potential Bash Code Injection
QNAP Releases New QTS for the Turbo NAS with Fix on GNU Bash Environment Variable Command Injection Vulnerability
Oracle Oracle Security Alert for CVE-2014-7169
Phusion Security advisory: Phusion Passenger and the CVE-2014-6271 Bash vulnerability
Sophos Sophos products and the Bash vulnerability (Shellshock)
Soliton bash脆弱性(CVE-2014-6271 等)の弊社開発製品への影響について
Splunk Bash Vulnerabilities (CVE-2014-6271, CVE-2014-7169), September 25th, 2014
Splunk response to "shellshock" vulnerabilities
Symantec Are Symantec Encryption products vulnerable to the BASH "ShellShock" vulnerability (CVE-2014-6271)
TrendMicro アラート/アドバイザリ : Bash に存在する「Shellshock」脆弱性 (CVE-2014-6271/CVE-2014-7169) に対する弊社製品での対応について
Webmin Changes since Webmin version 1.700
Zabbix Bashのセキュリティ修正
セゾン情報システムズ (PDF)HULFT Series 製品における bash の脆弱性(CVE-2014-6271、CVE-2014-7169)について
Century Systems FutureNet NXR,WXRシリーズ
FutureNet CMS-1200
FutureNet XRシリーズ
[FutureNet RAシリーズ
Miracle Linux Bash の脆弱性 (CVE-2014-7169, CVE-2014-6271) の影響と対処
ヤマハ GNU Bash 「OS コマンドインジェクション」の脆弱性について
Buffalo GNU BashにおけるOSコマンドインジェクションの脆弱性
IODATA GNU bash の脆弱性に関する弊社調査・対応状況について
富士通 JVNVU#97219505 GNU Bash に OS コマンドインジェクションの脆弱性
NEC bashの脆弱性(CVE-2014-6271、CVE-2014-7169)の影響について
日立 bashの脆弱性(CVE-2014-6271,CVE-2014-7169他)による影響について

補足

  • 製品ごとの情報(これも私が見かけたものだけですが)は関連情報リンク先の「各ベンダの関連情報」にまとめています。
  • 表中条件欄に数字「(1)、(2)」とある場合はAND条件になります。

更新履歴

  • 2014/09/28 AM 新規作成
  • 2014/09/28 AM 補足追記
  • 2014/09/28 PM ケース追記
  • 2014/10/01 AM ケース追記
  • 2014/10/03 PM 元記事から影響を受けるディストリ、製品表を移動

*1:http://techblog.clara.jp/2014/09/bash-vulnerability-vol2-verification/

*2:http://www.walbrix.com/jp/blog/2014-09-bash-code-injection.html

*3:http://www.netagent-blog.jp/archives/51996406.html

*4:http://dogmap.jp/2014/09/25/bash-specially-crafted-environment-variables-code-injection-attack/

*5:https://twitter.com/ockeghem/status/515386691532517376

*6:https://twitter.com/ito_yusaku/status/514961949570760704

*7:http://www.netagent-blog.jp/archives/51996406.html

*8:https://twitter.com/ito_yusaku/status/514962430267363328

*9:http://boscono.hatenablog.com/entry/2014/09/26/051746

*10:http://www.walbrix.com/jp/blog/2014-09-bash-code-injection.html

*11:http://qiita.com/_yyu_/items/5eaba10d6c291a30ed67

*12:http://qiita.com/_yyu_/items/5eaba10d6c291a30ed67

*13:https://twitter.com/ymzkei5/status/515407741485985792

*14:http://www.netagent-blog.jp/archives/51996406.html

*15:https://twitter.com/ymzkei5/status/515316061340590080

*16:https://twitter.com/ymzkei5/status/515335520109330432

*17:http://marc.info/?l=qmail&m=141183309314366&w=2

*18:http://tsekine.blogspot.jp/2014/09/bash.html

*19:https://x86-64.jp/blog/CVE-2014-6271

*20:http://mt-caret.hatenablog.com/entry/2014/09/25/012807

*21:http://unix.stackexchange.com/questions/157477/how-can-shellshock-be-exploited-over-ssh

*22:https://twitter.com/JZdziarski/status/515205581226123264

*23:http://qiita.com/richmikan@github/items/5f54114a46e64178133d

*24:https://twitter.com/gmillard/status/515197422310793217

*25:http://n.pentest.ninja/?p=31711

*26:https://github.com/zaf/sipshock

*27:https://gist.github.com/jedisct1/88c62ee34e6fa92c31dc

*28:http://sprunge.us/BGjP

*29:https://news.ycombinator.com/item?id=8385332