FAQ:Bashの脆弱性「Shellshock」について知っておくべきこと(後編) - (page 2)

Michael Lin Larry Seltzer (Special to ZDNet.com) 翻訳校正: 川村インターナショナル 2014年10月09日 06時00分

  • このエントリーをはてなブックマークに追加
  • 印刷

WindowsユーザーはShellshockの影響を受けないのか

 概して言うと、影響を受けることはない。現時点で、悪用可能なWindows攻撃ベクトルが存在するという証拠はないが、存在する可能性も否定できない。

 BashをWindowsにインストールすることは可能だが、それには、この脆弱性の攻撃ベクトルになる可能性のある状況を作り出す、特定の構成設定およびアプリケーションの組み合わせ(通常は「Cygwin」や「WAMP」)が必要だ。

MacユーザーはShellshockの影響を受けるのか

 厳密に言えば、影響を受ける。そして、Appleは初期の脆弱性を修復するアップデートを既にリリース済みだ。実際問題として、さまざまなサービス、つまりCGIを利用するウェブサーバなどを有効化していない限り、影響は受けない。そして、普通のMacユーザーはそれらのサービスを有効化していない。

パッチを適用したら、もう心配する必要はないのか

 心配は全く無用というわけではない。最初の2つの問題だった「CVE-2014-6271」と「CVE-2014-7169」のパッチは、すべての主要なLinuxディストリビューション向けに既に公開済みだ。それらに関連する、Bash内のほかのいくつかの脆弱性については、まだパッチが公開されていない。これらの脆弱性を突く攻撃はまだ公には報告されておらず、概念実証の攻撃も確認されていない。これらの脆弱性は悪用されにくいという。

 先述した2つの主要な脆弱性のパッチも依然として不安定だ。Bashのメンテナーは米国時間9月30日、同パッチの新バージョンを公開した。このバージョンは、最初のパッチより厳格で、最初のパッチは不十分だったと主張するRed Hatの開発者によって記述された。より厳格なパッチを適用すると、既存のBashスクリプトが機能しなくなるリスクが高まるが、それでもそのリスクは小さい。FreeBSDやNetBSD、VMWareを含むほかのベンダーはさらに踏み込んで、脆弱性を含む機能を完全に無効にするパッチを公開した。このパッチでは、互換性が失われる可能性がさらに高くなる。

ShellshockのCVEはどれか

 CVE-2014-6271:これは最初の「Shellshock」Bashバグだ。ほとんどの人がBashバグや「Shellshock」に言及する場合、このCVEを指していることが多い。

 CVE-2014-7169:これは最初のバグを対象とする不完全なパッチに割り当てられたCVEだ。

 この最初のパッチは、脆弱性が公表された後、すぐに不完全であることが判明した。最初の悪意ある構文に変更を加えると、攻撃者が任意のファイルへ書き込むなどの不正なアクションを実行できるようになってしまうおそれがある。

 「CVE-2014-7186」と「CVE-2014-7187」:これら2つのCVEは、最初のBashバグに関連して発見されたバグを対象としている。これら2つのバグは、最初のBashバグに非常によく似た構文によって引き起こされるが、コマンド注入ではなく、境界を越えたメモリへのアクセスが可能になってしまう。現在のところ、これらのバグにリモート攻撃ベクトルがあることを示す証拠はなく、実際に悪用された事例も確認されていない。

 「CVE-2014-6277」と「CVE-2014-6278」:セキュリティ研究者たちがさらに2つのバグを発見した。最初のBashバグと同様、これら2つのバグも、悪用されると任意のコマンド注入が可能になってしまうおそれがある。しかし、適切なパッチを作成するため、これらのバグの詳細はまだ公表されていない。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

関連ホワイトペーパー

連載

CIO
月刊 Windows 10移行の心・技・体
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
セキュリティインシデント対応の現場
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]