Flashes (Alerts)
Abstract
Power Systems製品におけるBashのセキュリティー脆弱性の影響についてお知らせします。
Content
更新ログ
(2014/10/03 14:31) 体裁修正
(2014/10/03 15:01) bashu-4.2-3リンク追記
(2014/10/03 19:12) Toolbox for Linux Applicationの情報を追記
(2014/10/06 17:19) 外部公開先を追加
(2014/10/07 09:48) リンクの追加
(2014/10/07 10:21) 誤字修正
(2014/10/08 10:36) HMCのPTF情報の更新
(2014/10/08 17:39) USサイト追記
IBM Support Portal:http://www-947.ibm.com/support/entry/portal/search_results?sn=spe&q=shellshock&filter=language:en
IBM Products NOT Affected by Shellshock:
【AIX/VIOS】
IBMが提供している製品/ライセンス・プログラム・プロダクトであるAIXおよびVIOSは、今回報告されているBashのセキュリティー脆弱性の問題はありません。
ただしお客様/パートナー様において、BashをAIX Toolbox for Linux Applicationsよりダウンロードして導入している場合は、今回の脆弱性に該当する可能性があります。
影響のある製品はToolbox for Linux Applications: バージョン 4.2-2 以下になります。
この製品のバージョンをご利用の場合、以下のサイトから修正済みバージョンをダウンロードし、適用ください。
ご利用のバージョンは、以下のコマンドで確認してください。
"rpm -q bash"
Download link for AIX V6.1 and above:
ftp://ftp.software.ibm.com/aix/freeSoftware/aixtoolbox/RPMS/ppc/bash/bash-4.2-3.aix6.1.ppc.rpm
Optional documentation download:
ftp://ftp.software.ibm.com/aix/freeSoftware/aixtoolbox/RPMS/ppc/bash/bash-doc-4.2-2.aix6.1.ppc.rpm
Download link for AIX V5.3:
ftp://ftp.software.ibm.com/aix/freeSoftware/aixtoolbox/RPMS/ppc/bash/bash-4.2-3.aix5.3.ppc.rpm
Optional documentation download:
ftp://ftp.software.ibm.com/aix/freeSoftware/aixtoolbox/RPMS/ppc/bash/bash-doc-4.2-2.aix5.3.ppc.rpm
下記のTechnical BulletinおよびSecurity Bulletinにも詳細情報が公開されています。
合わせてご確認ください。
Technical bulletin: UPDATE Vulnerabilities in Bash affect AIX Toolbox for Linux Applications
Technical bulletin: Vulnerabilities in Bash affect AIX Toolbox for Linux Applications
Security Bulletin: UPDATE: Vulnerabilities in Bash affect AIX Toolbox for Linux Applications (CVE-2014-6271, CVE-2014-6277, CVE-2014-6278, CVE-2014-7169, CVE-2014-7186, and CVE-2014-7187)
【IBM i】
IBM iに関しては、IBMが提供している製品/ライセンス・プログラム・プロダクトにおいて基本的に問題はありません。
ただし、IBM iのPASE環境にお客様/パートナー様の判断でGNU Bashをインストールしている場合は、今回の脆弱性に該当する可能性がありますので、Bash提供元の情報に基づく対応をお願いします。
【Linux】
当テクニカルフラッシュ発行時点での、各ディストリビューターにおける今回の脆弱性の情報は以下のサイトに掲載されています。
各ディストリビューターの更新情報は、今後適宜発信予定です。
CVE-2014-6271
RedHat:
https://access.redhat.com/announcements/1210053
https://access.redhat.com/articles/1200223
https://access.redhat.com/ja/articles/1210893
SUSE:
http://support.novell.com/security/cve/CVE-2014-6271.html
Ubuntu:
http://people.canonical.com/~ubuntu-security/cve/2014/CVE-2014-6271.html
CVE-2014-7169; Fixes for #6271 (above) were incomplete
RedHat:
https://access.redhat.com/security/cve/CVE-2014-7169
SUSE:
http://support.novell.com/security/cve/CVE-2014-7169.html
Ubuntu:
http://people.canonical.com/~ubuntu-security/cve/2014/CVE-2014-7169.html
各ディストリビューターの対応は以下のとおりです。
- Red Hat Enterprise Linux
特殊な細工がされた環境変数による Bash コードインジェクションの脆弱性 (CVE-2014-6271、CVE-2014-7169)に関する記事
下記サブスクリプションをお持ちの場合は、CVE-2014-7169 に対応したbash パッケージのアップデート版をご利用可能です。
・Red Hat Enterprise Linux 5、6、および 7
・Red Hat Enterprise Linux 4 Extended Life Cycle Support (ELS)
・Red Hat Enterprise Linux 5.9 Extended Update Support (EUS)
・Red Hat Enterprise Linux 6.4 Extended Update Support (EUS)
RHEL4をご使用のお客様でELSをお持ちでない場合は、パッチのご提供ができませんので、新規にELSをご購入頂く必要があります。
- SUSE Linux Enterprise Server
CVE-2014-6271および7169に関するKnowledge Baseの記事
"SUSE SLE vulnerability with GNU Bash Remote Code Execution (aka ShellShock) "
対象バージョンは現行のSLES11 SP3、および旧バージョン(11 SP1/SP2, 10 SP3/SP4)となります。
旧バージョンの場合は長期サービスパックサポート契約"LTSS"の締結が必要となりますが、今回の脆弱性の影響、深刻度を鑑みて、今回に限っての例外措置として、アクティブなサブスクリプションを保持されているお客様には、LTSS契約が無い場合でもパッチを提供することが決定され、アナウンスされています。
ShellShock 101 - What you need to know and do, to ensure your systems are secure
LTSS(長期サービスパックサポート):対象プラットフォームはSystem z, x86, x86_64
長期サービスパックサポート
また、サブスクリプションをお持ちで、Patch Notificationを登録されているお客様には、新たなパッチがリリースされた際に自動通知が送信されます。
Notificationは、下記URLの「patch notifications」リンクより登録する必要があります。
Patch Finder
- Ubuntu Server
CVE-2014-6271、CVE-2014-7169には対応済みで、修正パッチをご利用可能です。
[1] https://bugs.launchpad.net/ubuntu/+source/bash/+bug/1373781
[2] https://bugs.launchpad.net/bugs/cve/2014-6271
[3] https://bugs.launchpad.net/bugs/cve/2014-7169
ppc64leアーキテクチャ向けのパッケージは下記にリリースされており、サーバーをインターネットに接続した状態でオンラインでアップデートが可能です。
Index of /pool/main/b/bash
サーバーをインターネットに接続できいない場合、オフラインでパッケージをインストールする方法があります。
パッケージ間の依存関係の解決が必要であり、該当パッケージと依存関係の一覧とパッケージ自体をローカルにダウンロードする必要があります。
【HMC】
Security Bulletin: Vulnerabilities in Bash affect Power Hardware Management Console (CVE-2014-6271, CVE-2014-7169, CVE-2014-7186, CVE-2014-7187, CVE-2014-6277, CVE-2014-6278)
HMCに関しては、少なくともV7の全てで影響があることを確認できていますが、現時点でサポート期間中である以下のバージョンに対して、PTFが作成されました。
外部からの不正アクセスなどが懸念される環境では、修正の適用をお願いします。
HMCの各レベルでのPTFが作成されました(2014/10/3)。
Fix CentralおよびIBM FTPサーバーからのダウンロードも可能となっています。
これらのPTFは以下の6つのセキュリティーの脆弱性問題に対応しています。
CVE-2014-6271
CVE-2014-7169
CVE-2014-7186
CVE-2014-7187
CVE-2014-6277
CVE-2014-6278
http://www-933.ibm.com/support/fixcentral/
HMC Release | APAR番号 | PTF |
V7 R7.3.0 SP6 | MB03857 | MH01475 |
V7 R7.6.0 SP3 | MB03852 | MH01470 |
V7 R7.7.0 SP1 | MB03861 | MH01479 |
V7 R7.7.0 SP2 | MB03862 | MH01480 |
V7 R7.7.0 SP4 | MB03853 | MH01471 |
V7 R7.8.0 SP1 | MB03854 | MH01472 |
V7 R7.9.0 SP1 | MB03855 | MH01473 |
V8 R8.1.0 SP1 | MB03856 | MH01474 |
IBM Security Bulletin: Vulnerabilities in Bash affect Power Hardware Management Console (CVE-2014-6271, CVE-2014-7169, CVE-2014-7186, CVE-2014-7187, CVE-2014-6277, CVE-2014-6278)
参考: HMC and Power Systems firmware
参考:
IBM's official statement : the bash/Shellshock vulnerability:
以上
[{"Product":{"code":"SUPPORT","label":"IBM Worldwide Support"},"Business Unit":{"code":"BU051","label":"N\/A"},"Component":" ","Platform":[{"code":"","label":""}],"Version":"","Edition":"","Line of Business":{"code":"LOB33","label":"N\/A"}},{"Product":{"code":"SUPPORT","label":"IBM Worldwide Support"},"Business Unit":{"code":"BU051","label":"N\/A"},"Component":" ","Platform":[{"code":"","label":""}],"Version":"","Edition":"","Line of Business":{"code":"LOB33","label":"N\/A"}},{"Product":{"code":"SUPPORT","label":"IBM Worldwide Support"},"Business Unit":{"code":"BU051","label":"N\/A"},"Component":" ","Platform":[{"code":"","label":""}],"Version":"","Edition":"","Line of Business":{"code":"LOB33","label":"N\/A"}},{"Product":{"code":"SUPPORT","label":"IBM Worldwide Support"},"Business Unit":{"code":"BU051","label":"N\/A"},"Component":" ","Platform":[{"code":"","label":""}],"Version":"","Edition":"","Line of Business":{"code":"LOB33","label":"N\/A"}},{"Product":{"code":"SUPPORT","label":"IBM Worldwide Support"},"Business Unit":{"code":"BU051","label":"N\/A"},"Component":" ","Platform":[{"code":"","label":""}],"Version":"","Edition":"","Line of Business":{"code":"LOB33","label":"N\/A"}},{"Product":{"code":"SUPPORT","label":"IBM Worldwide Support"},"Business Unit":{"code":"BU051","label":"N\/A"},"Component":" ","Platform":[{"code":"","label":""}],"Version":"","Edition":"","Line of Business":{"code":"LOB33","label":"N\/A"}},{"Product":{"code":"SUPPORT","label":"IBM Worldwide Support"},"Business Unit":{"code":"BU051","label":"N\/A"},"Component":" ","Platform":[{"code":"","label":""}],"Version":"","Edition":"","Line of Business":{"code":"LOB33","label":"N\/A"}},{"Product":{"code":"SUPPORT","label":"IBM Worldwide Support"},"Business Unit":{"code":"BU051","label":"N\/A"},"Component":" ","Platform":[{"code":"","label":""}],"Version":"","Edition":"","Line of Business":{"code":"LOB33","label":"N\/A"}},{"Product":{"code":"SUPPORT","label":"IBM Worldwide Support"},"Business Unit":{"code":"BU051","label":"N\/A"},"Component":"Not Applicable","Platform":[{"code":"","label":""}],"Version":"","Edition":"","Line of Business":{"code":"LOB33","label":"N\/A"}},{"Product":{"code":"SWG10","label":"AIX"},"Business Unit":{"code":"BU058","label":"IBM Infrastructure w\/TPS"},"Component":"Not Applicable","Platform":[{"code":"","label":""}],"Version":"","Edition":"","Line of Business":{"code":"LOB08","label":"Cognitive Systems"}},{"Product":{"code":"SGGSNP","label":"Hardware Management Console V9"},"Business Unit":{"code":"BU054","label":"Systems w\/TPS"},"Component":"Not Applicable","Platform":[{"code":"","label":""}],"Version":"","Edition":"","Line of Business":{"code":"LOB08","label":"Cognitive Systems"}}]
Historical Number
26DBDA0F2109EF0449257D60003F6B69
Product Synonym
対象システム:Power Systems;AIX;IBM i;Linux;HMC
Was this topic helpful?
Document Information
Modified date:
26 September 2022
UID
jpn1J1012159