■概要
脆弱性が存在する「bash」が動作しますが、実行するためには管理者の権限が必要に
なりますので実質的な影響はありません。影響を受けるサービスや条件は、下記をご
参照ください。根本対処のため、修正モジュールを準備中です。
(2014/10/10 更新)
関連情報のリンク『【Express5800/LB, InterSec/LB,InterSecVM/LB】
bash脆弱性に関する対応パッケージの個別提供』に、以下の脆弱性に
対応した修正モジュールを順次公開いたします。
・CVE-2014-6271,CVE-2014-7169,CVE-2014-7186,CVE-2014-7187,
CVE-2014-6277,CVE-2014-6278
念のため、今後の情報にご注意ください。
■脆弱性の影響を受けるサービス
・Management Consoleサービス
Management Consoleへのアクセスにおいては、アカウント/パスワードを知らないユーザ
からの攻撃については、影響を受けません。
(本脆弱性を悪用する場合、ログインが必要になります)
一部の旧機種では、Management Consoleを認証なしで運用することが可能です。
「Management Console > Management Console」にてセキュリティモードを「レベル0」
としている場合は「レベル1」以上(レベル2を推奨)に変更して頂くようお願いします。
・リモートシェル(sshd)/リモートログイン(telnetd) サービス
SSH接続やTELNET接続が許可されている保守アカウントユーザなど、root権限を持た
ないユーザからログイン後に悪用される恐れがあります。
アカウント/パスワードを知らないユーザからの攻撃については、影響を受けません。
(本脆弱性を悪用する場合、ログインが必要になります。)
「Management Console > サービス」にて不要サービスを停止するか、
「Management Console > システム > セキュリティ > TCP Wrapper」にて外部からの
アクセスを制限するよう設定を変更してください。
■その他
・ESMPRO関連 や UPS関連など 別途追加インストールするソフトウェアは該当する製
品にお問い合わせください。
■脆弱性の影響を受けないサービス
以下のサービスは本脆弱性の影響を受けません。
- LBに関係する負荷分散機能(L4,L7)
- 時刻調整(ntpd)
- ネットワーク管理エージェント(snmpd)
- 二重化機能
InterSec/LB400i、InterSecVM/LB V3.0 では、CLUSTERPRO Xが動作していますが、
本脆弱性の影響はありません。
■対応方法
根本的な処置としてはアップデートが必要となります。RedHat社からの修正モジュール
が更新され次第、順次対応していきます。
・CVE-2014-6271
・CVE-2014-6277
・CVE-2014-6278
・CVE-2014-7169
・CVE-2014-7186
・CVE-2014-7187
関連情報のリンク『【Express5800/LB, InterSec/LB, InterSecVM/LB】bash脆弱性に関する
対応パッケージの個別提供 』を参照の上、適用をお願いします
Express5800/LB300f
Express5800/LB300g
Express5800/LB400g
Express5800/LB400h
Express5800/R110d-1M(LB400h2)
InterSec/LB400i
InterSecVM/LB V1.0
InterSecVM/LB V2.0 for VMware,InterSecVM/LB V2.0 for Hyper-V
InterSecVM/LB V2.1 for Hyper-V
InterSecVM/LB V3.0 for VMware,InterSecVM/LB V3.0 for Hyper-V
InterSecVM/LBc
以下のオプションソフトウェアをLBにて利用していても、
脆弱性の影響を受けることはありません。
・Express5800/LB NAT対応ライセンス
・Express5800/LB ノード固定化(Cookie)ライセンス
・Express5800/LB SSLアクセラレータライセンス
・InterSecVM/LB NAT対応ライセンス
・InterSecVM/LB ノード固定化(Cookie)ライセンス
・InterSecVM/LB SSLアクセラレータライセンス
・InterSec/LB NAT対応ライセンス
・InterSec/LB ノード固定化(Cookie)ライセンス
・InterSec/LB SSLアクセラレータライセンス