ここではBashの脆弱性 ShellShockの影響が及ぶケースとして情報が出ているものをまとめます。記載情報はpiyokangoが見つけた情報をまとめているだけであり、当該脆弱性による影響が及ぶケースをすべて網羅しているわけではありませんのでご注意ください。
攻撃方法
方法 | 具体例 | 条件 |
---|---|---|
能動的 | ExploitをHTTPリクエストやメール等を使って送り付ける (参考)BASHの脆弱性でCGIスクリプトにアレさせてみました |
攻撃者が対象へ直接接続可能 |
受動的 | Exploitを仕込んだ罠ページを設置し攻撃対象に踏ませる (参考)ファイアウォール内のサーバに対するShellshockを利用した攻撃 |
攻撃者が対象のURLを把握、または推測可能 |
CVE-2014-6271/CVE-2014-7169により影響が及ぶケース
ケース | 他必要条件等 | 検証情報等 |
---|---|---|
シェルスクリプト | (1) CGIで動作 | *1 *2 |
php | (1) CGIモードで動作 (2) 以下の関数を使用 ・system関数 ・main関数 ・mb_send_mail関数 |
*3 *4 *5 *6 |
perl | (1) CGIモードで動作 (2) メタ文字を使って外部コマンド呼び出し |
*7 *8 *9 |
python | (1) CGIモードで動作 (2) shell=Trueで外部コマンド呼び出し |
*10 *11 |
ruby | (1) CGIモードで動作 (2) メタ文字を使って外部コマンド呼び出し |
*12 |
SSI | (1) 外部コマンド呼び出しを行っている | *13 *14 |
qmail | (1) 以下の様な設定時 ・受信時にシェルキック ・.forward等でパイプを使用 |
*15 *16 *17 |
SSH | (1) ログインしている必要あり | *18 *19 *20 *21 *22 |
Telnet | 不明 | *23 |
dhcp | − | *24 *25 |
SIP Proxy | − | *26 |
PureFTP | (1) 認証できる必要あり | *27 |
OpenVPN | − | *28 *29 |
- 条件はざっくりしすぎているので、詳細は検証された方の情報を参照下さい。
各ベンダの関連情報
ディストリ | CVE-2014-6271 | CVE-2014-7169 | CVE-2014-7186 CVE-2014-7187 |
CVE-2014-6277 CVE-2014-6278 |
関連情報/修正バージョン |
---|---|---|---|---|---|
RHEL | Fixed | Fixed | Fixed | Fixed | RHSA-2014:1306-1 bash-3.2-33.el5_11.4 (RHEL5) bash-4.1.2-15.el6_5.2 (RHEL6) bash-4.2.45-5.el7_0.4 (RHEL7) 詳細はAdvisory参照のこと |
Fedora | Fixed | Fixed? | ? | ? | bash-4.2.48-2.fc19 (Fedora 19) bash-4.2.48-2.fc20 (Fedora 20) bash-4.3.25-2.fc21 (Fedora 21) |
CentOS | Fixed | Fixed | ? | ? | bash-3.2-33.el5_10.4 (CentOS 5) bash-4.1.2-15.el6_5.2 (CentOS 6) bash-4.2.45-5.el7_0.4 (CentOS 7) |
Amazon Linux | Fixed | Fixed | Fixed | ? | CVE-2014-6271 Advisory ALAS-2014-418 (CVE-2014-6271) ALAS-2014-419 (CVE-2014-7169/7186/7187) bash-4.1.2-15.21.amzn1 |
Ubuntu | Fixed | Fixed | Fixed | ? | USN-2362-1(CVE-2014-6271) USN-2363-1(CVE-2014-7169) USN-2364-1 4.1-2ubuntu3.4(Ubuntu 10.04 LTS) 4.2-2ubuntu2.5 (Ubuntu 12.04 LTS) 4.3-7ubuntu1.4 (Ubuntu 14.04 LTS) |
openSuSE | Fixed | Fixed | Fixed | Fixed | CVE-2014-6271 / Bug 896776 CVE-2014-7169 / Bug 898346 CVE-2014-7186 CVE-2014-7187 CVE-2014-6277 CVE-2014-6278 3.2-147.22.1 (SuSE11) 3.1-24.34.1 (SuSE10) |
Debian | Fixed | Fixed | Fixed | ? | DSA-3032-1 (CVE-2014-6271) DSA-3035-1 (CVE-2014-7169) (CVE-2014-7186) (CVE-2014-7187) 4.1-3+deb6u2 (squeeze (lts)) 4.2+dfsg-0.1+deb7u3 (wheezy(security)) 4.3-9.2 (sid) |
Gentoo | Fixed | Fixed | Fixed | ? | Bug 523592(CVE-2014-7169) Bug 523742 (CVE-2014-7186/CVE-2014-7187) bash-3.1_p20 bash-3.2_p54 bash-4.0_p41 bash-4.1_p14 bash-4.2_p50 |
Scientific Linux | Fixed | ? | ? | ? | SLSA-2014:1293-1 bash-3.2-33.el5.1(SL5) bash-4.1.2-15.el6_5.1(SL6) |
Solaris | Fixed | Fixed | ? | ? | Status for Solaris patches |
slackware linux | Fixed | Fixed | ? | ? | SSA:2014-267-01 (CVE-2014-6271) SSA:2014-268-01 (CVE-2014-7169) 3.1.018 (Slackware 13) 4.1.012 (Slackware 13.1/13.37) 4.2.048 (Slackware 14/14.1) 4.3.025 (current) |
Mac OSX | Fixed | Fixed | ? | ? | OS X bash Update 1.0 OS X Lion OS X Mountain Lion OS X Mavericks |
Arch Linux | Fixed | Fixed | ? | ? | svntogit/packages.git bash 4.3.026-1 |
「?」は対応済みか不明の箇所です。
他影響を受ける製品
補足
- 製品ごとの情報(これも私が見かけたものだけですが)は関連情報リンク先の「各ベンダの関連情報」にまとめています。
- 表中条件欄に数字「(1)、(2)」とある場合はAND条件になります。
更新履歴
- 2014/09/28 AM 新規作成
- 2014/09/28 AM 補足追記
- 2014/09/28 PM ケース追記
- 2014/10/01 AM ケース追記
- 2014/10/03 PM 元記事から影響を受けるディストリ、製品表を移動
*1:http://techblog.clara.jp/2014/09/bash-vulnerability-vol2-verification/
*2:http://www.walbrix.com/jp/blog/2014-09-bash-code-injection.html
*3:http://www.netagent-blog.jp/archives/51996406.html
*4:http://dogmap.jp/2014/09/25/bash-specially-crafted-environment-variables-code-injection-attack/
*5:https://twitter.com/ockeghem/status/515386691532517376
*6:https://twitter.com/ito_yusaku/status/514961949570760704
*7:http://www.netagent-blog.jp/archives/51996406.html
*8:https://twitter.com/ito_yusaku/status/514962430267363328
*9:http://boscono.hatenablog.com/entry/2014/09/26/051746
*10:http://www.walbrix.com/jp/blog/2014-09-bash-code-injection.html
*11:http://qiita.com/_yyu_/items/5eaba10d6c291a30ed67
*12:http://qiita.com/_yyu_/items/5eaba10d6c291a30ed67
*13:https://twitter.com/ymzkei5/status/515407741485985792
*14:http://www.netagent-blog.jp/archives/51996406.html
*15:https://twitter.com/ymzkei5/status/515316061340590080
*16:https://twitter.com/ymzkei5/status/515335520109330432
*17:http://marc.info/?l=qmail&m=141183309314366&w=2
*18:http://tsekine.blogspot.jp/2014/09/bash.html
*19:https://x86-64.jp/blog/CVE-2014-6271
*20:http://mt-caret.hatenablog.com/entry/2014/09/25/012807
*21:http://unix.stackexchange.com/questions/157477/how-can-shellshock-be-exploited-over-ssh
*22:https://twitter.com/JZdziarski/status/515205581226123264
*23:http://qiita.com/richmikan@github/items/5f54114a46e64178133d
*24:https://twitter.com/gmillard/status/515197422310793217
*25:http://n.pentest.ninja/?p=31711
*26:https://github.com/zaf/sipshock