セキュリティホール memo - 2014.10

Last modified: Mon Mar 30 12:39:21 2015 +0900 (JST)

 このページの情報を利用される前に、注意書きをお読みください。

2014.10.31

いろいろ (2014.10.31)
(various)

pidgin

2014.10.30

「iPhone 6 Plus」「iPad mini 3」のTouch IDを偽造指紋で突破、ついでに猫の肉球でも認証OK
(gigazine, 2014.10.30)

 木工用ボンドで ok だそうです。

追記

Chrome、SSL 3.0 やめるってよ (2014.10.15)

 IE も SSL 3.0 やめるってよ。

  • マイクロソフト セキュリティ アドバイザリ 3009008: SSL 3.0 の脆弱性により、情報漏えいが起こる (Microsoft, 2014.10.30 改訂)

    マイクロソフトは、今後数か月間の間に、Internet Explorer の既定設定、およびマイクロソフト オンラインサービスで SSL 3.0 が無効になることをお知らせします。マイクロソフトは、お客様が、クライアントおよびサービスを TLS 1.0、TLS 1.1、あるいはTLS 1.2 などのより安全なセキュリティ プロトコルに移行することを推奨します。

    IE の SSL 3.0 無効化を設定するための Fix it も公開されました。 KB 3009008 参照。

    あと、SA 3009008 では Windows のサーバソフト全体・クライアントソフト全体の SSL 3.0 を無効化する方法も明記されました。

  • [回避策まとめ] セキュリティ アドバイザリ 3009008「SSL 3.0 の脆弱性により、情報漏えいが起こる」を公開 その2 (日本のセキュリティチーム, 2014.10.30)

    2014 年 12 月 1 日より、Azure および Office 365 にて、SSL 3.0 を無効化します。これにより、Azure および Office 365 を利用するクライアント端末およびブラウザーは、TLS1.0 以上を有効化し、接続を行う必要がります。現時点では、サービス側への接続分析より、SSL 3.0 を利用した接続は少数であることが判明しています。Azure および Office 365 をご利用のお客様は、2014 年 11 月 30 日までに、TLS 1.0 以上を有効化してください。

2014.10.29

いろいろ (2014.10.29)
(various)

GNU Wget

CP Multi View Event Calendar (WordPress プラグイン)

 とりあえず、使用を停止するのが吉のようです。

Ruby

Cacti

QNAP

Alert (ICS-ALERT-14-281-01) Ongoing Sophisticated Malware Campaign Compromising ICS
(ICS-CERT, 2014.10.28)

 BlackEnergy / Sandworm の件。

NCCIC/ICS-CERT has identified a sophisticated malware campaign that has compromised numerous industrial control systems (ICSs) environments using a variant of the BlackEnergy malware. Analysis indicates that this campaign has been ongoing since at least 2011. Multiple companies working with ICS-CERT have identified the malware on Internet-connected human-machine interfaces (HMIs). (中略) ICS-CERT has determined that users of HMI products from various vendors have been targeted in this campaign, including GE Cimplicity, Advantech/Broadwin WebAccess, and Siemens WinCC.
(中略)
In addition, public reports[b],[c] reference a BlackEnergy-based campaign against a variety of overseas targets leveraging vulnerability CVE-2014-4114[d] (affecting Microsoft Windows and Windows Server 2008 and 2012).

 関連:

2014.10.28

追記

Advisory 01/2014: Drupal - pre Auth SQL Injection Vulnerability (2014.10.16)

 Drupalの脆弱性情報と対応方法 (さくらのナレッジ, 2014.10.27)

Chrome、SSL 3.0 やめるってよ (2014.10.15)

 関連:

2014.10.27

PSA: don't run 'strings' on untrusted files (CVE-2014-8485)
(lcamtuf's blog, 2014.10.24)

 GNU binutils の strings は、多くの Linux ディストリで /usr/bin/strings としてインストールされている。GNU binutils の strings には libbfd がリンクされていて、デフォルトではこれを使った処理が行われる。この処理に欠陥があり、攻略ファイルに対して strings を実行すると任意のコードを実行される。CVE-2014-8485 (typo fixed: iida さん感謝)

 回避するには、strings に -a オプションをつけて実行する。

2014.10.24

いろいろ (2014.10.24)
(various)

VMware vSphere Data Protection

PHP 5.6.2、5.5.18、5.4.34

phpMyAdmin

トライポッドワークス GIGAPOD

Apache HTTP Server

Panasonic Network Camera View、Network Camera Recorder

 修正版が用意されている。

NAT-PMP デバイス

  • JVNVU#99291862: 複数の NAT-PMP デバイスが WAN 側から操作可能な問題 (JVN, 2014.10.24)

    インターネット上に、(WAN 側からの) リクエストに対して応答するNAT-PMP デバイスが大量に存在することが報告されています。報告者のレポートでは、NAT-PMP の実装 miniupnpd を使った製品における実装上の不具合や使用時の不適切な設定が、原因のひとつとして考えられると記載されています。

    なお、miniupnpd バージョン 1.8.20141022 では、NAT-PMP パケットを WAN 側インターフェースから受信した場合にはこれを破棄するように更新されています。また、設定ファイル miniupnpd.conf には、より適切な設定を促すコメントが追加されています。

  • Vulnerability Note VU#184540: Incorrect implementation of NAT-PMP in multiple devices (CERT, 2014.10.23)

Android 版 「スマ保」

2014.10.23

2014.10.22

セキュリティ アドバイザリ 3010060「Microsoft OLE の脆弱性により、リモートでコードが実行される」 を公開
(日本のセキュリティチーム, 2014.10.22)

 これは……。 MS14-060 - 重要: Windows OLE の脆弱性により、リモートでコードが実行される (3000869) (CVE-2014-4114) では直り切ってなかったということなんだろうか。それとも全くの別件? (別件の模様: 2014.10.22 追記参照)

 Fix it「OLE パッケージ Shim 回避策」 が提供されているので、適用することで回避できるようだ。ただし、 64bit 版 Windows 8・8.1・Server 2012・2012 R2 + 64 bit 版 PowerPoint 2007・2010・2013 の組み合せには Fix it が効かないと明記されている。 また副作用は記載されていない。

 回避策には他にも UAC を有効にする、EMET 5.0 をインストールした上で設定を追加する、などが挙げられている。 EMET 4.1 では駄目なようだ。

2014.10.22 追記:

 Windowsに新たなゼロデイ脆弱性「CVE-2014-6352」、不正なOffice文書ファイルにより攻撃可能 (トレンドマイクロ セキュリティ blog, 2014.10.22)

10月15日のブログ記事などで Office文書ファイルを利用したゼロデイ攻撃を報告していますが、今回のゼロデイ脆弱性はまた新たに確認されたものです。

2014.10.24 追記:

 関連:

2014.11.12 追記:

 MS14-064 - 緊急: Windows OLE の脆弱性により、リモートでコードが実行される (3011443) で修正されました。Fix it で回避策を適用していた場合の指針は明記されていないのですが、更新プログラム適用後に回避策を削除しておけばいいのではと思います。

追記

Chrome、SSL 3.0 やめるってよ (2014.10.15)

 関連:

2014.10.21

2014.10.20

追記

マイクロソフト セキュリティ アドバイザリ 2949927: Windows 7 および Windows Server 2008 R2 で SHA-2 ハッシュ アルゴリズムを利用可能 (2014.10.15)

 更新プログラムに不具合が発見され、公開が中止されています。

Chrome、SSL 3.0 やめるってよ (2014.10.15)

 関連:

Advisory 01/2014: Drupal - pre Auth SQL Injection Vulnerability (2014.10.16)

 DrupalのSQLインジェクションCVE-2014-3704について調べてみた (徳丸浩の日記, 2014.10.20)

2014.10.17

追記

Chrome、SSL 3.0 やめるってよ (2014.10.15)

 関連:

2014.10.16

いろいろ (2014.10.16)
(various)

Apple OS X

Advisory 01/2014: Drupal - pre Auth SQL Injection Vulnerability
(SektionEins GmbH, 2014.10.15)

 Drupal 7.x に SQL インジェクションを招く欠陥。CVE-2014-3704

 Drupal 7.32 で修正されている。

2014.10.20 追記:

 DrupalのSQLインジェクションCVE-2014-3704について調べてみた (徳丸浩の日記, 2014.10.20)

2014.10.28 追記:

 Drupalの脆弱性情報と対応方法 (さくらのナレッジ, 2014.10.27)

2014.11.05 追記:

 関連:

OpenSSL Security Advisory [15 Oct 2014]
(OpenSSL, 2014.10.15)

 OpenSSL 1.0.1j、1.0.0o、0.9.8zc 公開。3 件の欠陥を修正、1 件の欠陥に対応。

追記

Bash ShellShock バグ (CVE-2014-6271, CVE-2014-7169, CVE-2014-6277, CVE-2014-6278, CVE-2014-7186, CVE-2014-7187) 修正情報まとめ (2014.10.03)

 Buffalo の項を更新。TS5000、TS5200DS、TS-2RZ、TS-X、TS-V の各シリーズ用の修正ファームウェアが用意されている。GNU BashにおけるOSコマンドインジェクションの脆弱性を参照。

 IO DATA の GNU bash の脆弱性に関する弊社調査・対応状況について、 更新ファームが用意された機種が大幅に増えている。

Chrome、SSL 3.0 やめるってよ (2014.10.15)

 OpenSSL 1.0.1j、1.0.0o、0.9.8zc で TLS_FALLBACK_SCSV がサポートされました。 また、no-ssl3 ビルドオプションがうまく機能していない欠陥 CVE-2014-3568 も修正されています。

2014.10.15

Firefox 33.0 / ESR 31.2.0、Thunderbird 31.2.0 公開
(Mozilla, 2014.10.15)

 出ました。

APSB14-22: Security updates available for Adobe Flash Player
(Adobe, 2014.10.14)

 Flash Player / AIR 更新。3 つのセキュリティ欠陥 (いずれも任意のコードの実行を招く) を修正。 CVE-2014-0558 CVE-2014-0564 CVE-2014-0569。 Priority rating は Linux 版と AIR が 3、他は 1。

プラットホーム バージョン
Windows (ActiveX) 15.0.0.189
Windows (NPAPI プラグイン) 15.0.0.189
Mac 15.0.0.189
Linux 11.2.202.411
Google Chrome 15.0.0.189
Windows 8 / Server 2012 / RT の Internet Explorer 10 15.0.0.189
Windows 8.1 / Server 2012 R2 / RT 8.1 の Internet Explorer 11 15.0.0.189
AIR 15.0.0.293 (Windows, Mac)
15.0.0.293 (Android)
AIR SDK & Compiler 15.0.0.302 (Windows, Mac, Android, iOS)
AIR SDK 15.0.0.302 (Windows, Mac, Android, iOS)

 Windows / Mac 用には継続サポート版 13.0.0.250 も用意されている。

 日本語抄訳版: APSB14-22: Adobe Flash Player用のセキュリティアップデート公開

2014.11.26 追記:

 APSB14-22 が 2014.11.25 付で改訂された。任意のコードの実行を招く欠陥 CVE-2014-8439 への緩和処置がされていたことが明らかにされた。 CVE-2014-8439 に対しては、APSB14-26 でさらなる対応が行われた。

 関連: Out-of-Band Flash Player Update for CVE-2014-8439 (F-Secure blog, 2014.11.25)。この欠陥を Adobe に通報したのは ESET、F-Secure、kafeine 氏なのだが、 kafeine 氏は Angler exploit kit の調査をしているときに発見したのだそうで。

Kafeine reported Angler exploiting this vulnerability already in October 21st 2014, soon followed by Astrum and Nuclear exploit kits. Considering the exploit kit authors reverse engineered October’s Flash update in two days, installing the update immediately is paramount, whether you do it manually or automatically.

 Angler exploit kit の作者は、Flash Player 新版が出てからたった 2 日でリバースエンジニアリングして、未公開の脆弱性に対する exploit をつくってしまったと。

2014.12.08 追記:

 An interesting case of the CVE-2014-8439 exploit (Microsoft Malware Protection Center, 2014.12.02)

APSB14-23: Security Update: Hotfixes available for ColdFusion
(Adobe, 2014.10.14)

 ColdFusion 9.0〜11.0 に 3 つのセキュリティ欠陥 (CSRF、XSS、未認証のローカルユーザが IP アドレスによるアクセス制限を突破できる欠陥)。 CVE-2014-0570 CVE-2014-0571 CVE-2014-0572。 Priority rating は全て 2。

 Hotfix が用意されているので適用すればよい。

 日本語抄訳版: APSB14-23: セキュリティアップデート:ColdFusion用ホットフィックス公開

2014 年 10 月のマイクロソフト セキュリティ情報の概要
(マイクロソフト, 2014.10.15)

 「セキュリティ情報 4」が次回以降に順延された。

MS14-056 - 緊急: Internet Explorer 用の累積的なセキュリティ更新プログラム (2987107)

 IE 6〜11 に 14 件の欠陥。内 1 件 CVE-2014-4123 は 0-day (Exploitability Index: 0)。 他は Exploitability Index: 1

MS14-057 - 緊急: .NET Framework の脆弱性により、リモートでコードが実行される (3000414)

 .NET Framework 2.0 SP2、3.5、3.5.1、4、4.5、4.5.1、4.5.2 に 3 つの欠陥。

  • .NET ClickOnce の特権の昇格の脆弱性 - CVE-2014-4073。Exploitability Index: 2

  • .NET Framework のリモートでコードが実行される脆弱性 - CVE-2014-4121。Exploitability Index: 2

  • .NET ASLR の脆弱性 - CVE-2014-4122。Exploitability Index: 1

MS14-058 – 緊急: カーネルモード ドライバーの脆弱性により、リモートでコードが実行される (3000061)

 Windows Server 2003、Vista、Server 2008、7、Server 2008 R2、8・8.1、Server 2012・Server 2012 R2、RT・RT 8.1 のカーネルモード ドライバーに 2 つの欠陥。 どちらも 0-day (Exploitability Index: 0)

MS14-059 – 重要: ASP.NET MVC の脆弱性により、セキュリティ機能のバイパスが起こる (2990942)

 ASP.NET MVC 2.0・3.0・4.0・5.0・5.1 に XSS 欠陥。Exploitability Index: 3

MS14-060 - 重要: Windows OLE の脆弱性により、リモートでコードが実行される (3000869)

 Windows Vista、Server 2008、7、Server 2008 R2、8・8.1、Server 2012・Server 2012 R2、RT・RT 8.1 に 0-day 欠陥 (Exploitability Index: 0)。 OLE オブジェクトの処理に欠陥があり、攻略 OLE オブジェクトを含むファイルを開くと任意のコードが実行される。CVE-2014-4114

 関連:

 Sandworm (CVE-2014-4114) は ICS を狙っていた:

MS14-061 – 重要: Microsoft Word および Office Web Apps の脆弱性により、リモートでコードが実行される (3000434)

 Office 2007・2010、Office for Mac 2011、Office 互換機能パック SP3、SharePoint Server 2010、Office Web Apps 2010 に欠陥。Word ファイルの「特定のプロパティ」の処理に欠陥があり、攻略 Word ファイルを開くと任意のコードが実行される。 CVE-2014-4117。 Exploitability Index: 1

MS14-062 – 重要: メッセージ キュー サービスの脆弱性により、特権が昇格される (2993254)

 Windows Server 2003 に欠陥。MSMQ サービスに欠陥があり、local user による権限上昇が可能。CVE-2014-4971。 Exploitability Index: 1

MS14-063 - 重要: FAT32 ディスク パーティション ドライバーの脆弱性により、特権が昇格される (2998579)

 Windows Server 2003、Vista、Server 2008 に欠陥。ディスク パーティション ドライバーに欠陥があり、物理アクセス可能な攻撃者によって攻略 USB ドライブを挿入されると任意のコードが実行される。CVE-2014-4115。 Exploitability Index: 2

2014.11.19 追記:

 徹底解析「CVE-2014-4115」:不正なUSBドライブが感染経路か。PC全体が制御される恐れ (トレンドマイクロ セキュリティ blog, 2014.11.04)

 関連:

マイクロソフト セキュリティ アドバイザリ 2977292: TLS の使用を可能にする Microsoft EAP 実装用の更新プログラム
(マイクロソフト, 2014.10.15)

 Microsoft 拡張認証プロトコル (EAP) で TLS 1.1、1.2 をサポートする更新プログラム 2977292 を公開。 Windows 7 / Server 2008 R2 以降用。

マイクロソフト セキュリティ アドバイザリ 2949927: Windows 7 および Windows Server 2008 R2 で SHA-2 ハッシュ アルゴリズムを利用可能
(マイクロソフト, 2014.10.15)

 2949927 更新プログラムをインストールすると、Windows 7 / Server 2008 R2 の SHA-2 対応が強化されます。

この更新プログラムは、影響を受けるオペレーティング システムに以下の SHA-2 ハッシュ アルゴリズム署名および検証のサポートを追加します。

 Windows 8 / Server 2012 以降では、上記は最初から実装されているそうです。

2014.10.20 追記:

 更新プログラムに不具合が発見され、公開が中止されています。

2015.03.12 追記:

 更新プログラムの公開が長らく中止されていたが、 3033929 として新たに公開された。なお、手動で適用する場合には、まず MS15-025 更新プログラム 3035131 をインストールし、次に 3033929 をインストールする必要がある。

Oracle Critical Patch Update Advisory - October 2014
(Oracle, 2014.10.14)

 出てます。MySQL は 24 件修正されてます。

2014年10月 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起
(JPCERT/CC, 2014.10.15)

 Java SE 8u25、7u71 出ました。セキュリティ欠陥 25 件修正されてます。Java SE 7 についてはさらに、非セキュリティな修正を加えた 7u72 が同時リリースされているそうです。

Chrome、SSL 3.0 やめるってよ
(various, 2014.10.15)

 SSL 3.0 プロトコルに欠陥が発見されました。攻撃が成功すると平文を取得できるようです。TLS 1.0、1.1、1.2 プロトコルにはこの欠陥はありません。

 SSL 3.0 サポートを削除するための言い訳に使われた感? しかし Google 様の意向には逆らえない。まあ、こんなことでもないと、いつまでたっても TLS に移行しないのも確かだしなあ。

2014.10.15 追記:

 Firefox も SSL 3.0 やめるってよ。

 いまどきの Firefox で SSL/TLS の最小バージョンを設定するには about:config で security.tls.version.min を設定するか、 アドオン SSL Version Control を使います。SSL Version Control をインストールすると、デフォルトで TLS 1.0 が最小バージョンとなります (security.tls.version.min = 1)。

2014.10.16 追記:

 OpenSSL 1.0.1j、1.0.0o、0.9.8zc で TLS_FALLBACK_SCSV がサポートされました。 また、no-ssl3 ビルドオプションがうまく機能していない欠陥 CVE-2014-3568 も修正されています。

 関連:

2014.10.17 追記:

 関連:

2014.10.20 追記:

 関連:

2014.10.22 追記:

 関連:

2014.10.28 追記:

 関連:

2014.10.30 追記:

 IE も SSL 3.0 やめるってよ。

2014.12.10 追記:

 関連:

2015.02.12 追記:

 IE 11 方面。

2015.03.30 追記:

 実装によっては TLS 1.x であっても POODLE 類似の欠陥を持つ事例:

2014.10.14

追記

2014 年 10 月 15 日のセキュリティ リリース予定 (月例) (2014.10.13)

 今回、NATO やウクライナ政府などへの攻撃に使われた 0-day 欠陥の修正が含まれているそうです: iSIGHT discovers zero-day vulnerability CVE-2014-4114 used in Russian cyber-espionage campaign (iSIGHT, 2014.10.14)。CVE-2014-4114

On Tuesday, October 14, 2014, iSIGHT Partners – in close collaboration with Microsoft – announced the discovery of a zero-day vulnerability impacting all supported versions of Microsoft Windows and Windows Server 2008 and 2012.

 セキュリティ情報 3 (緊急) か、セキュリティ情報 5 (重要) ですか。

2014.10.13

追記

ベネッセから顧客情報 760 万世帯分が流出、名簿屋から情報を購入したジャストシステムがダイレクトメールを送付して発覚 (2014.07.09)

 関連:

  • ファミマTポイントカード作ったみやびちゃん(仮名・10歳)、なぜかベネッセから個人情報が漏れましたとお詫びちゃれんじ貰う (市況かぶ全力2階建, 2014.10.13)。T ポイント → ベネッセ → 漏洩、の模様。

  • 14年度中に業務終了=情報流出の子会社-ベネッセ (時事, 2014.10.09)。シンフォーム。

  • ベネッセの報告書を読んで浮かんだ違和感 (ZDNet, 2014.10.07)

     本報告書では、調査当初は対象データが約2億1639万件であり、それを統合して約6984万件、名寄せした結果が約3504万件、個別のデータとして約4858万人分のデータになったと記載されています。
     この報告から分かることは、個人データをバラバラに管理していたということです。個人情報を提供する側からすればベネッセコーポレーションに提供しているつもりで、一元的に管理されていることが期待されるところですが、残念ながらそうはなっていなかったということです。
     このような状況で情報管理をしている企業では、個人情報保護法における主体(本人)の有する自己コントロール権に対して適切な対応ができない可能性が高いということです。
     例えばメールマガジンの配送停止を依頼した際やデータの削除を依頼した際に、すべてのサービスについてそれが全うされないだろうということが予測されます。

2014 年 10 月 15 日のセキュリティ リリース予定 (月例)
(日本のセキュリティチーム, 2014.10.10)

 緊急 x 3、重要 x 5、警告 x 1。IE あり、NET Framework あり、Office あり (Mac 版も)。

2014.10.14 追記:

 今回、NATO やウクライナ政府などへの攻撃に使われた 0-day 欠陥の修正が含まれているそうです: iSIGHT discovers zero-day vulnerability CVE-2014-4114 used in Russian cyber-espionage campaign (iSIGHT, 2014.10.14)。CVE-2014-4114

On Tuesday, October 14, 2014, iSIGHT Partners – in close collaboration with Microsoft – announced the discovery of a zero-day vulnerability impacting all supported versions of Microsoft Windows and Windows Server 2008 and 2012.

 セキュリティ情報 3 (緊急) か、セキュリティ情報 5 (重要) ですか。

2014.10.10

TCP 10000番ポートへのスキャンの増加に関する注意喚起
(JPCERT/CC, 2014.10.10)

 Webmin 狙いらしい。

TCP 10000番ポートは、ウェブベースのシステム管理ツールである Webmin の 標準ポートとして利用されることが多く、開発者によると Webmin は先日公開 された GNU bash の脆弱性の影響を受けるとのことです。

 関連:

2014.10.09

追記

2014 年 8 月のマイクロソフト セキュリティ情報の概要 (2014.08.16)

 MS14-046 更新プログラム 2966827・2966828 で不具合が発生しているようです。 更新プログラム 3005628 で修正。

2014.10.08

OpenSSH 6.7/6.7p1 がリリースされました.
(春山 征吾のくけー, 2014.10.07)

 OpenSSH 6.7/6.7p1 出たそうです。 

* sftp-server(8): サポートするプラットフォームでは
  prctl() を用いて sftp-server が /proc/self/{mem,maps} に
  アクセスするのを防ぐ.

 ForceCommand internal-sftp で、かつ ChrootDirectory を設定していない場合に、 /proc/self/{mem,maps} を使ってアレできる件への対応だそうです。 [FD] OpenSSH <=6.6 SFTP misconfiguration exploit for 64bit Linux 参照。

 関連: chrootされたsftp専用ユーザを作るメモ (Qiita, 2014.06.10)

Chrome Stable Channel Update
(Google, 2014.10.07)

 Chrome 38.0.2125.101 が stable に。159 件 (!) のセキュリティ修正を含む。 内 113 件は、MemorySanitizer を使って発見した、比較的マイナーなセキュリティ修正だそうで。

 同時公開:

2014.10.07

いろいろ (2014.10.07)
(various)

Webmin, Usermin

Bugzilla

追記

USB周辺機器が“悪者”に、BlackHatで実証ツール公開予定 (2014.08.01)

 DEF CON 22で仕入れた悪意のあるUSBデバイス (マクニカネットワークス セキュリティ研究センターブログ, 2014.10.03)。BadUSB のわかりやすい解説。

ユーザに対する教育として以下の基本的な2点を厳守させることが最も手っ取り早い対策となるかもしれません。

  • 出所が不明な「いかなる」USBデバイスを接続しない
    • スマホ充電器も含む 
  • 離席時に画面ロックをする(攻撃者にUSBデバイスを接続されても、ログオン画面では悪いプログラムが発動できない)

Bash ShellShock バグ (CVE-2014-6271, CVE-2014-7169, CVE-2014-6277, CVE-2014-6278, CVE-2014-7186, CVE-2014-7187) 修正情報まとめ (2014.10.03)

 ……根津 研介さん曰く、bash 4.3.30 等は

本日GNU bash Upstreamで公開された下記のMichal Zalewski さんのパッチですが、CVE-2014-6278の対策パッチではなく、Florian Weimer さんの緩和パッチ(問題を検出するとabort()する)を、abort()させないコードに直してGNU Upstreamが取り込んだ時にコマンドラインのパーサー状態が中途半端な状態になるエンバグの修正パッチです。
RedHatとCentOSはabort()するFlorianさんの初期パッチを取り込んでいるので関係しませんが、GNUのUpstreamを見ているディストリの類はパッチを取り込んだ方がいいみたいです。
あと、Florianさんの緩和条件について、追加のケースがあって、下記の場合もエラーになるようになります。
1.パーサーのバッファになんか残ってる(関数定義以外に何か追加されている)。
2.既に定義済みのシェル関数と同じ名前のシェル関数を環境変数で定義しようとしている。

 エンバグ修正 + よりきちんと緩和されるようになったと。

2014.10.06

追記

Bash ShellShock バグ (CVE-2014-6271, CVE-2014-7169, CVE-2014-6277, CVE-2014-6278, CVE-2014-7186, CVE-2014-7187) 修正情報まとめ

CVE-2014-6277、CVE-2014-6278 対応について

  • 黒木さんから (情報ありがとうございます)。以下の「今日」は 2014.10.03 です。 

    CVE-2014-6277、CVE-2014-6278は、まだどのメーカも
対応できてないのではないかと思います。

MLすべて読んでないのでまちがっているかもしれせんが、
このあたりに再現方法がかかれています。

more bash parser bugs
http://www.openwall.com/lists/oss-security/2014/10/01/17

bash -c "f(){ x(){ _;}; x(){ _;}<<a;}"
Segmentation fault

CentOS5,6,Debian7,Solaris11とやってみましたが全部落ちました。

bashメンテナーのRameyさんがパッチ準備中といってるので、
今日の昼頃出たmake_cmd.cとcopy_cmd.cのパッチで治るのかもしれないです。

  • 野村さんから (情報ありがとうございます) 

    記事でCVE-2014-6277及びCVE-2014-6278の修正とされている、
例えばbash-4.1なら
http://lists.gnu.org/archive/html/bug-bash/2014-09/msg00280.html
は、修正ではなく軽減策です。
これを適用する事により、任意の名前の環境変数を作成できるユーザ以外には攻撃が
できなくなると言う物です。
逆に言えば、任意の名前の環境変数を作成できるのならば依然として攻撃可能です。

例えばRed Hatの場合、
---
$ env a='〜略〜' bash -c :
---
を
---
$ env 'BASH_FUNC_a()'='〜略〜' bash -c :
---
とすれば問題再現できます。

つまり、CVE-2014-6277、CVE-2014-6278は、bashオフィシャルの最新パッチでも
修正されていないと言うのが正確かと思います。
Red Hat等がCVE-2014-6277、CVE-2014-6278を修正済みとしていないのも、
おそらくこのためでしょう。

ただし前述の通り、攻撃には任意の名前の環境変数を作成できる必要がある為、
その様な事が可能な環境以外では、それ程心配する状況ではないと判断して
良いと思います。
少なくともCVE-2014-6271やCVE-2014-7169の様な、mod_cgi経由でのお手軽攻撃
などは不可能と考えて大丈夫でしょう。

  • de-dion さんから (情報ありがとうございます) 

    CVE-2014-6277 CVE-2014-6278 については
関数をエクスポートする時の環境変数名が変更された事によって
CGI経由での攻撃は防げるようになっているため
実質安全なっていると言えますが
脆弱性そのものは修正されていないようです。

以下のケースの問題は起きなくっていますが

# CVE-2014-6277
env 'HTTP_COOKIE=() { x() { _; }; x() { _; } <<a; }' bash -c :
# CVE-2014-6278
env 'HTTP_COOKIE=() { _; } >_[$($())] { echo hi mom; id; }' bash -c :

以下のように環境変数を指定した場合は現象が発生します。

# CVE-2014-6277
env 'BASH_FUNC_a()=() { x() { _; }; x() { _; } <<a; }' bash -c :
# CVE-2014-6278
env 'BASH_FUNC_a()=() { _; } >_[$($())] { echo hi mom; id; }' bash -c :

環境変数名はOSによって若干異なるようですのでご注意下さい。

export -f a の場合

BASH_FUNC_a%% (bash本家)
BASH_FUNC_a() (RedHad/CentOS)
BASH_FUNC_<a>() (MacOS)

以下のセキュリティエラータがリリース済みとなっていないのは
このためではないかと思います。
https://access.redhat.com/security/cve/CVE-2014-6277
https://access.redhat.com/security/cve/CVE-2014-6278

 うぉぅ……。また書き直さないと……書き直した。

 ……で、bash 4.3.30 等出てます。tjy1965 さん情報ありがとうございます。

  • 黒木さんからの情報にある bash -c "f(){ x(){ _;}; x(){ _;}<<a;}" の例は、bash 4.3.29 で落ちなくなりました (手元の FreeBSD 8.4 でテストして、bash 4.3.28 で落ち bash 4.3.29 では落ちないことを確認)。

  • de-dion さんからの情報にある 

    # CVE-2014-6277
env 'BASH_FUNC_a()=() { x() { _; }; x() { _; } <<a; }' bash -c :
# CVE-2014-6278
env 'BASH_FUNC_a()=() { _; } >_[$($())] { echo hi mom; id; }' bash -c :

    ですが、FreeBSD ports の bash 4.3.29 ではこうなりました。(FreeBSD なので --import-functions が必要) 

    % env 'BASH_FUNC_a%%=() { x() { _; }; x() { _; } <<a; }' bash --import-functions -c :
bash: warning: here-document at line 0 delimited by end-of-file (wanted `a')
% env 'BASH_FUNC_a%%=() { _; } >_[$($())] { echo hi mom; id; }' bash --import-functions -c :
hi mom
uid=XXXXX(kjm) gid=XXXXX(後略)

    FreeBSD ports の bash 4.3.30 だとこうです。 

    env 'BASH_FUNC_a%%=() { x() { _; }; x() { _; } <<a; }' bash --import-functions -c :
bash: warning: here-document at line 0 delimited by end-of-file (wanted `a')
% env 'BASH_FUNC_a%%=() { _; } >_[$($())] { echo hi mom; id; }' bash --import-functions -c :
bash: a: line 0: syntax error near unexpected token `{'
bash: a: line 0: `a () { _; } >_[$($())] { echo hi mom; id; }'
bash: error importing function definition for `a'

 bash 4.3.30 では CVE-2014-6277、CVE-2014-6278 に対応しているということでいいのかな。

Changelog

  • 2014.10.06 - 「CVE-2014-6277、CVE-2014-6278 対応について」を追加。 表については、bash 4.3.30 で対応するとして書き直した。 また Buffalo の項に情報を、VMware の項を VMSA-2014-0010.7 に更新。

2014.10.03

追記

USB周辺機器が“悪者”に、BlackHatで実証ツール公開予定 (2014.08.01)

 Phison 2251-03 (2303) Custom Firmware & Existing Firmware Patches (BadUSB) (github)。コード公開されました。

いろいろ (2014.10.03)
(various)

Xen

MediaWiki

phpMyAdmin

Squid

Bash ShellShock バグ (CVE-2014-6271, CVE-2014-7169, CVE-2014-6277, CVE-2014-6278, CVE-2014-7186, CVE-2014-7187) 修正情報まとめ
(various)

 UNIXとLinuxの「Bash」シェルに重大なセキュリティホール がわけわかめになったので、別途まとめます。 全ての欠陥に対応したものだけを「修正済」とします。

 原則として各文書の字面しか追ってないので注意。 特に CVE-2014-6277 と CVE-2014-6278 は 「CVE-2014-6271 と CVE-2014-7169 の不完全な修正」によるもののため、場合によっては対応が明記されていないかもしれない。

製品、ベンダー 修正済バージョン 備考 更新日付
Apple OS X 不十分 不十分版: OS X bash Update 1.0 - OS X MavericksOS X Mountain LionOS X Lion 2014.10.03
Barracuda 不十分 不十分版: Barracuda Networks products and CVE-2014-6277, CVE-2014-6278, and CVE-2014-7169: aftershock and two related vulnerabilities。CVE-2014-7186, CVE-2014-7187 に未対応 2014.10.03
Bash 4.3.30, 4.2.53, 4.1.17, 4.0.44, 3.2.57, 3.1.23, 3.0.22, 2.05b.13 2014.10.06
バッファロー Buffalo HDW-PDU3 シリーズは未修正 情報: GNU BashにおけるOSコマンドインジェクションの脆弱性 2014.10.29
CentOS 不十分 不十分版: CentOS 5CentOS 6CentOS 7。CVE-2014-6277, CVE-2014-6278 対応は軽減策 (ソースで確認) 2014.10.06
Cisco 未修正 情報: GNU Bash Environment Variable Command Injection Vulnerability 2014.10.03
Debian 不十分 不十分版: DSA-3035-1 bash -- security update。CVE-2014-6277, CVE-2014-6278 対応は軽減策 (ソースで確認) 2014.10.03
FreeBSD 最新の ports/shells/bash で修正済 (bash-4.3.30) 2014.10.06
IO DATA 不十分 不十分版: GNU bash の脆弱性に関する弊社調査・対応状況について。CVE-2014-6278, CVE-2014-7186, CVE-2014-7187 に未対応 2014.10.16
マカフィー McAfee 一部製品は修正済 情報: マカフィーセキュリティ情報 – Bash Shellshock Code Injection Exploit Updates (CVE-2014-6271、CVE-2014-7169) 2014.10.03
Oracle 一部製品は修正済 情報: Bash "Shellshock" Vulnerabilities - CVE-2014-7169 2014.10.08
QNAP Protect Your Turbo NAS from Remote Attackers - Bash (Shellshock) Vulnerabilities 2014.10.29
Red Hat 不十分 不十分版: RHSA-2014:1306-3。CVE-2014-6277, CVE-2014-6278 対応は軽減策 (ソースで確認) 2014.10.03
Synology 不十分 不十分版: Synology 製品セキュリティ勧告 2014.10.03
Ubuntu 不十分 不十分版: USN-2364-1: Bash vulnerabilities。CVE-2014-6277, CVE-2014-6278 対応は軽減策 (ソースで確認) 2014.10.03
Vine Linux 不十分 不十分版: bash にセキュリティホール。CVE-2014-6277, CVE-2014-6278, CVE-2014-7186, CVE-2014-7187 に未対応 (ソースで確認) 2014.10.03
VMware VMSA-2014-0010.7 2014.10.06
ヤマハ Yamaha GNU Bash 「OS コマンドインジェクション」の脆弱性について 2014.10.03

 関連:

 新出さんから (情報ありがとうございます) 

Debianが修正不十分となっていますが
Debian(wheezy,squeeze-ltsで確認)のbashに9/25G時点で当たっているパッチのうち
CVE-2014-6271.diff      がCVE-2014-6271対応
CVE-2014-7169.diff      がCVE-2014-7169対応
variables-affix.patch   がCVE-2014-6277+6278対応
parser-oob.patch        がCVE-2014-7186+7187対応
のようなので、Debianは「修正済」ということになるのではないかと思います。
CentOSも同様のようですが、確認はしていません。

 やっぱソース読むしかなさげ (T_T) CentOS、Debian、Red Hat、Ubuntu、Vine Linux については ソースを読んだ結果を反映した。

CVE-2014-6277、CVE-2014-6278 対応について

 うぉぅ……。また書き直さないと……書き直した。

 ……で、bash 4.3.30 等出てます。tjy1965 さん情報ありがとうございます。

 bash 4.3.30 では CVE-2014-6277、CVE-2014-6278 に対応しているということでいいのかな。

 ……根津 研介さん曰く、bash 4.3.30 等は

本日GNU bash Upstreamで公開された下記のMichal Zalewski さんのパッチですが、CVE-2014-6278の対策パッチではなく、Florian Weimer さんの緩和パッチ(問題を検出するとabort()する)を、abort()させないコードに直してGNU Upstreamが取り込んだ時にコマンドラインのパーサー状態が中途半端な状態になるエンバグの修正パッチです。
RedHatとCentOSはabort()するFlorianさんの初期パッチを取り込んでいるので関係しませんが、GNUのUpstreamを見ているディストリの類はパッチを取り込んだ方がいいみたいです。
あと、Florianさんの緩和条件について、追加のケースがあって、下記の場合もエラーになるようになります。
1.パーサーのバッファになんか残ってる(関数定義以外に何か追加されている)。
2.既に定義済みのシェル関数と同じ名前のシェル関数を環境変数で定義しようとしている。

 エンバグ修正 + よりきちんと緩和されるようになったと。

Changelog

2014.10.02

追記

UNIXとLinuxの「Bash」シェルに重大なセキュリティホール (2014.09.25)

2014.10.01

[セキュリティホール memo]
[私について]