CentOS 5/6/7:bash(CESA-2014:1306)

critical Nessus プラグイン ID 77879

概要

リモート CentOS ホストに1つ以上のセキュリティ更新がありません。

説明

1 つのセキュリティの問題を修正する更新済みの bash パッケージが、 Red Hat Enterprise Linux 5 と 6 と 7 で現在利用可能です。

Red Hat 製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度高として評価しています。詳細な重要度評価を示す Common Vulnerability Scoring System(CVSS)ベーススコアは「参照」セクションの CVE リンクで入手できます。

GNU Bourne Again shell(Bash)は、シェルとコマンド言語インタープリターを兼ねており、Bourne shell(sh)と互換性があります。Bash は、Red Hat Enterprise Linux のデフォルトのシェルです。

CVE-2014-6271 の修正は不完全であることが判明しましたが、それでも Bash では、特別に細工された環境変数で、特定の文字を他の環境に注入することを許容していました。攻撃者がこの欠陥を利用して、環境制限をオーバーライドまたはバイパスし、シェルコマンドを実行する可能性があります。認証を受けていないリモートの攻撃者が、特定のサービスやアプリケーションを利用して環境変数を提供し、それらにこの問題を悪用させます。
(CVE-2014-7169)

bash 関数を、直接環境変数として作成するアプリケーションには、この更新で名称の処理方法が変更されることを認識させる必要があります。詳細については、Knowledge Base の記事(https://access.redhat.com/articles/1200223)を参照してください

注:Docker のユーザーは、「yum update」をコンテナ内で使用し、変更結果には従うことをお勧めします。

CVE-2014-6271 および CVE-2014-7169 の詳細については、前述の「Knowledge Base」の記述を参照してください。

bash の全ユーザーは、バックポートされたパッチが含まれるこれらの更新済みパッケージへアップグレードし、これらの問題を修正することが推奨されます。

ソリューション

影響を受ける bash パッケージを更新してください。

関連情報

http://www.nessus.org/u?3e6f3298

http://www.nessus.org/u?7dcec836

http://www.nessus.org/u?d96a66d4

プラグインの詳細

深刻度: Critical

ID: 77879

ファイル名: centos_RHSA-2014-1306.nasl

バージョン: 1.24

タイプ: local

エージェント: unix

公開日: 2014/9/26

更新日: 2022/1/31

サポートされているセンサー: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure

リスク情報

VPR

リスクファクター: High

スコア: 8.4

CVSS v2

リスクファクター: Critical

Base Score: 10

Temporal Score: 7.8

ベクトル: AV:N/AC:L/Au:N/C:C/I:C/A:C

現状ベクトル: E:POC/RL:OF/RC:C

脆弱性情報

CPE: p-cpe:/a:centos:centos:bash, p-cpe:/a:centos:centos:bash-doc, cpe:/o:centos:centos:5, cpe:/o:centos:centos:6, cpe:/o:centos:centos:7

必要な KB アイテム: Host/local_checks_enabled, Host/CentOS/release, Host/CentOS/rpm-list, Host/cpu

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2014/9/25

CISAの既知の悪用日: 2022/7/28

参照情報

CVE: CVE-2014-7169, CVE-2014-7186, CVE-2014-7187

BID: 70137, 70152, 70154

RHSA: 2014:1306

IAVA: 2014-A-0142