■概要
脆弱性が存在する「bash」が動作していますが、ログイン可能なアカウントから悪用さ
れた場合を除き、基本的には影響は受けません。影響を受けるサービスや条件は、
下記を参照ください。
根本対処のため、修正モジュールを公開しております。
(2014/10/3 更新)
以下の脆弱性に対応した修正モジュールを公開いたしました。
・CVE-2014-6271、CVE-2014-7169、CVE-2014-7186、CVE-2014-7187
(2014/10/6 更新)
10/3に個別公開した修正モジュールにおいては、RedHat社およびJPCERT/CC
からの見解から、以下の脆弱性に影響をうけないことをを確認しました。
念のため、今後の情報にご注意ください。
・CVE-2014-6277、CVE-2014-6278
■脆弱性の影響を受けるサービス
・Management Consoleサービス
一般ユーザ、ドメイン管理者ユーザからログイン後に悪用される恐れがあります。
アカウント/パスワードを知らないユーザからの攻撃については、影響を受けません。
(本脆弱性を悪用する場合、ログインが必要になります)
一部の旧機種では、Management Console を、認証なしで運用することが可能です。
システム管理者Management Console「Management Console」にてセキュリティモードを
「レベル0」に指定している場合は、「レベル1」以上(「レベル2」を推奨します)に変更して
頂くようお願いします。
・リモートシェル(sshd)/リモートログイン(telnetd) サービス
SSH接続やTELNET接続が許可されている一般ユーザや保守アカウントユーザなど、
root権限を持たないユーザからログイン後に悪用される恐れがあります。
アカウント/パスワードを知らないユーザからの攻撃については、影響を受けません。
(本脆弱性を悪用する場合、ログインが必要になります。)
sshやtelnetでのリモート接続が不要なユーザは、ドメイン管理者Management Console
「ユーザ情報 > ユーザ情報編集」画面で「Telnet/sshの使用を許可する」または
「sshの使用を許可する」のチェックを行わない設定をすることで利用できなくなります。
また、システム管理者Management Console「ドメイン情報 > ドメイン情報編集」画面
で、対象ドメインに対し「TELNET/SSHの使用を許可する」または 「SSHの使用を許可する」の
チェックを行わないことでサービスを利用できなくすることも可能です。
なお、フェイルオーバクラスタ構成およびロードバランスクラスタ構成においては、
SSHサーバサービスの起動は必須です。
利用されている場合は、システム管理者Management Console「サービス」にて
リモートシェル(sshd) サービスの[停止]の操作は、行わないでください。
・Webサーバ(httpd)サービス
お客様にて公開されているコンテンツにおいて、以下のスクリプトおよびAPI等を利用
されている場合に、影響を受ける可能性があります。
- Pythonスクリプトにおける os.system、os.popen関数
- PHPスクリプトにおける system、exec、mb_send_mail関数
- Perlスクリプトにおける open、system関数
■その他
ESMPRO関連 や UPS関連など 別途追加インストールするソフトウェアは該当する製品に
お問い合わせください。
■脆弱性の影響を受けないサービス
以下のサービスは本脆弱性の影響を受けません。
- メールコントローラ(MWMCTL)
- メールサーバ(sendmail) / メールサーバ(postfix)
- メールサーバ(popd/imapd) / メールサーバ(dovecot)
- WEBMAIL-Xサーバ(webmail-httpd))
- ネームサーバ(named)サーバ
- DHCPサーバ(dhcpd)
- ファイル転送(ftpd)
- UNIXファイル共有(nfsd)
- Windowsファイル共有(smbd)
- アドレス帳(ldap)
- 時刻調整(ntpd)
- ネットワーク管理エージェント(snmpd)
- サーバ管理エージェント(wbmcmsvd)
- システム監視(MW_MONITOR)
- サービス監視(chksvc)
- Trend Micro Hosted Email Security
- 二重化機能(二重化構成構築キット、二重化構成構築ライセンス)
CLUSTERPRO Xが動作していますが、本脆弱性の影響はありません。
(※ご利用の製品によっては提供していないサービスもあります)
■対応方法
根本的な処置としてはアップデートが必要となります。RedHat社からの修正モジュール
が更新され次第、順次対応していきます。
○公開状況(2014/10/6現在)
修正モジュール公開済み
・CVE-2014-6271
・CVE-2014-7169
・CVE-2014-7186
・CVE-2014-7187
・CVE-2014-6277
・CVE-2014-6278
関連情報のリンク『【Express5800/MW, InterSec/MW, InterSecVM/MW】bash脆弱性に関する
対応パッケージの個別提供 』をご参照の上、適用をお願いします。
・以下のオプションソフトウェアは、脆弱性の影響を受けることはありません。
Express5800/MW 全メール保存ライセンス
Express5800/MW DNS/DHCP強化オプション
Express5800/MW WEBMAIL-EXT 100Uライセンス
Express5800/MW WEBMAIL-X(by WitchyMail)同時接続ライセンス
Express5800/MW 二重化構成構築キット
InterSec/MW 全メール保存ライセンス
InterSec/MW DNS/DHCP強化オプション
InterSec/MW WEBMAIL-X(by WitchyMail)同時接続ライセンス
InterSec/MW 二重化構成構築キット
InterSecVM/MW 全メール保存ライセンス
InterSecVM/MW DNS/DHCP強化ライセンス
InterSecVM/MW WEBMAIL-X同時接続ライセンス
InterSecVM/MW 二重化構成構築ライセンス
・トレンドマイクロ社が提供するHES(Trend Micro Hosted Email Security)サービスに
つきましても影響はありません。下記 URL にて技術情報が公開されておりますので、
合わせて参照ください。
http://esupport.trendmicro.com/solution/ja-JP/1105232.aspx