WindowsユーザーはShellshockの影響を受けないのか
概して言うと、影響を受けることはない。現時点で、悪用可能なWindows攻撃ベクトルが存在するという証拠はないが、存在する可能性も否定できない。
BashをWindowsにインストールすることは可能だが、それには、この脆弱性の攻撃ベクトルになる可能性のある状況を作り出す、特定の構成設定およびアプリケーションの組み合わせ(通常は「Cygwin」や「WAMP」)が必要だ。
MacユーザーはShellshockの影響を受けるのか
厳密に言えば、影響を受ける。そして、Appleは初期の脆弱性を修復するアップデートを既にリリース済みだ。実際問題として、さまざまなサービス、つまりCGIを利用するウェブサーバなどを有効化していない限り、影響は受けない。そして、普通のMacユーザーはそれらのサービスを有効化していない。
パッチを適用したら、もう心配する必要はないのか
心配は全く無用というわけではない。最初の2つの問題だった「CVE-2014-6271」と「CVE-2014-7169」のパッチは、すべての主要なLinuxディストリビューション向けに既に公開済みだ。それらに関連する、Bash内のほかのいくつかの脆弱性については、まだパッチが公開されていない。これらの脆弱性を突く攻撃はまだ公には報告されておらず、概念実証の攻撃も確認されていない。これらの脆弱性は悪用されにくいという。
先述した2つの主要な脆弱性のパッチも依然として不安定だ。Bashのメンテナーは米国時間9月30日、同パッチの新バージョンを公開した。このバージョンは、最初のパッチより厳格で、最初のパッチは不十分だったと主張するRed Hatの開発者によって記述された。より厳格なパッチを適用すると、既存のBashスクリプトが機能しなくなるリスクが高まるが、それでもそのリスクは小さい。FreeBSDやNetBSD、VMWareを含むほかのベンダーはさらに踏み込んで、脆弱性を含む機能を完全に無効にするパッチを公開した。このパッチでは、互換性が失われる可能性がさらに高くなる。
ShellshockのCVEはどれか
CVE-2014-6271:これは最初の「Shellshock」Bashバグだ。ほとんどの人がBashバグや「Shellshock」に言及する場合、このCVEを指していることが多い。
CVE-2014-7169:これは最初のバグを対象とする不完全なパッチに割り当てられたCVEだ。
この最初のパッチは、脆弱性が公表された後、すぐに不完全であることが判明した。最初の悪意ある構文に変更を加えると、攻撃者が任意のファイルへ書き込むなどの不正なアクションを実行できるようになってしまうおそれがある。
「CVE-2014-7186」と「CVE-2014-7187」:これら2つのCVEは、最初のBashバグに関連して発見されたバグを対象としている。これら2つのバグは、最初のBashバグに非常によく似た構文によって引き起こされるが、コマンド注入ではなく、境界を越えたメモリへのアクセスが可能になってしまう。現在のところ、これらのバグにリモート攻撃ベクトルがあることを示す証拠はなく、実際に悪用された事例も確認されていない。
「CVE-2014-6277」と「CVE-2014-6278」:セキュリティ研究者たちがさらに2つのバグを発見した。最初のBashバグと同様、これら2つのバグも、悪用されると任意のコマンド注入が可能になってしまうおそれがある。しかし、適切なパッチを作成するため、これらのバグの詳細はまだ公表されていない。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。