IBM Support

(参考) Lotus Protector for Mail Security の BASH における "Shellshock" 脆弱性の修正 (CVE-2014-6271, CVE-2014-7186, CVE-2014-7187, CVE-2014-6277, CVE-2014-6278, CVE-2014-7169)

Security Bulletin


Summary

IBM Lotus Protector for Mail Security で使用されているオープンソースコンポーネントの bash で脆弱性の問題が報告されました。この問題により、攻撃者がシステム上で任意のコードを実行する潜在的な可能があります。

Vulnerability Details


CVE-2014-7186
説明:GNU Bash の問題により、redir_stack の処理中における禁止された (out-of-bounds) メモリアクセスに起因して、ローカルの攻撃者がシステム上で任意のコードを実行する可能性があります。攻撃者はこの問題を利用して、システム上で任意のコードを実行し、DoS 攻撃を起こすことが可能です。

CVSS Base Score: 4.6
CVSS Temporal Score: 現時点のスコアについては ISS X-Force Database を参照してください。
CVSS Environmental Score*: Undefined
CVSS Vector: (AV:L/AC:L/Au:N/C:P/I:P/A:P)


CVE-2014-7187
説明:GNU Bash の問題により、深くネストされたフロー制御コンストラクトの処理における off-by-one エラーに起因して、ローカルの攻撃者がシステム上で任意のコードを実行する可能性があります。攻撃者はこの問題を利用して、システム上で任意のコードを実行し、DoS 攻撃を起こすことが可能です。

CVSS Base Score: 4.6
CVSS Temporal Score: 現時点のスコアについては ISS X-Force Database を参照してください。
CVSS Environmental Score*: Undefined
CVSS Vector: (AV:L/AC:L/Au:N/C:P/I:P/A:P)


CVE-2014-6277
説明:GNU Bash の問題により、環境変数の値における関数定義の適切な構文解析な失敗に関連する不完全な修正に起因して、リモートの攻撃者がシステム上で任意のコードを実行する可能性があります。攻撃者はこの問題を利用して、OpenSSH sshd の ForceCommand 機能や、Apache HTTP サーバーの mod_cgi や mod_cgid モジュールを含む攻撃ベクトルを使用し、システム上で任意のコードを実行し、DoS 攻撃を起こすことが可能です。

CVSS Base Score: 10.0
CVSS Temporal Score: 現時点のスコアについては ISS X-Force Database を参照してください。
CVSS Environmental Score*: Undefined
CVSS Vector: (AV:N/AC:L/Au:N/C:C/I:C/A:C)


CVE-2014-6278
説明:GNU Bash の問題により、ユーザースクリプトの構文解析に関連する不完全な修正に起因して、リモートの攻撃者がシステム上で任意のコードを実行する可能性があります。攻撃者はこの問題を利用して、システム上で任意のコードを実行し、DoS 攻撃を起こすことが可能です。

CVSS Base Score: 10.0
CVSS Temporal Score: 現時点のスコアについては ISS X-Force Database を参照してください。
CVSS Environmental Score*: Undefined
CVSS Vector: (AV:N/AC:L/Au:N/C:C/I:C/A:C)


CVE-2014-6271
説明:GNU Bash の問題により、bash 機能によって通過した特殊に細工された環境変数を評価するときのエラーに起因して、リモートの攻撃者がシステム上で任意のコマンドを実行する可能性があります。攻撃者はこの問題を利用して、ファイルに書き込みをし、システム上で任意のコマンドを実行することが可能です。

CVSS Base Score: 10.0
CVSS Temporal Score: 現時点のスコアについては ISS X-Force Database を参照してください。
CVSS Environmental Score*: Undefined
CVSS Vector: (AV:N/AC:L/Au:N/C:C/I:C/A:C)


CVE-2014-7169
説明:GNU Bash の問題により、環境変数の値における間違った機能定義に関連する不完全な修正に起因して、リモートの攻撃者がシステム上で任意のコマンドを実行する可能性があります。攻撃者はこの問題を利用して、OpenSSH sshd の ForceCommand 機能や、Apache HTTP サーバーの mod_cgi や mod_cgid モジュールを含む攻撃ベクトルを使用して、ファイルに書き込みをし、システム上で任意のコマンドを実行することが可能です。

CVSS Base Score: 10.0
CVSS Temporal Score: 現時点のスコアについては ISS X-Force Database を参照してください。
CVSS Environmental Score*: Undefined
CVSS Vector: (AV:N/AC:L/Au:N/C:C/I:C/A:C)

Affected Products and Versions

すべてのバージョンの IBM Lotus Protector for Mail Security

Remediation/Fixes


IBM Lotus Protector for Mail Security 2.8.1.0 より前のリリース
→ 2.8.1.0 にアップデートし、以下のガイドに従ってください。

IBM Lotus Protector for Mail Security 2.8.1.0
→ 最新のシステムパッケージをインストールしてください。自動更新を有効にしていない場合は、[更新] - [更新およびライセンス] - [コンポーネント] - [システムパッケージ] で [更新] をクリックし、利用可能なパッケージをすべてインストールしてください。

重要:システムパッケージのインストール後、システムを再起動([システム] - [システムツール])し、すべてのコンポーネントが更新されたパッケージを使用するようにしてください。

システムで更新された BASH パッケージがインストールされているか確認するには、以下のコマンドを実行します。


    rpm -qa | grep -E "bash|libread"

以下に記載のバージョン(もしくはそれ以降)になっていれば、更新されています。
    libreadline5-5.2-147.22.1
    readline-doc-5.2-147.22.1.i586.rpm
    bash-doc-3.2-147.22.1
    bash-3.2-147.22.1

Workarounds and Mitigations

なし

Get Notified about Future Security Bulletins

References

Complete CVSS v2 Guide
On-line Calculator v2
本事象はセキュリティ問題に該当しているため、問題の再現手順など詳細に関するお問い合わせについて、ここに掲載された以上の情報提供を行っておりません。セキュリティ保全の観点による措置のため、あらかじめご了承いただきますようお願いします。

重要度、発生頻度など当事象を評価する情報については、以下の CVSS 評価値を利用ください。CVSS の評価値の読み方については、「 共通脆弱性評価システム CVSS 概説」をご参照ください。

CVSS リファレンス:
共通脆弱性評価システム CVSS 概説
脆弱性の深刻度評価の新バージョン CVSS v2 について

CVSS Caluculator:
(日本語) Online Calculator

原文:
(英文)「Security Bulletin: BASH on Lotus Protector for Mail Security was updated to fix "Shellshock" vulnerability (CVE-2014-6271, CVE-2014-7186, CVE-2014-7187 and CVE-2014-7169)」(Technote #1685522)

この文書は、米国 IBM 社の資料を翻訳した参考文書です。日本語環境での検証は行っておりませんのでご注意ください。翻訳元の文書は、関連情報のリンクよりご参照ください。

Related information

IBM Secure Engineering Web Portal
IBM Product Security Incident Response Blog

*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.

Disclaimer

According to the Forum of Incident Response and Security Teams (FIRST), the Common Vulnerability Scoring System (CVSS) is an "industry open standard designed to convey vulnerability severity and help to determine urgency and priority of response." IBM PROVIDES THE CVSS SCORES "AS IS" WITHOUT WARRANTY OF ANY KIND, INCLUDING THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE. CUSTOMERS ARE RESPONSIBLE FOR ASSESSING THE IMPACT OF ANY ACTUAL OR POTENTIAL SECURITY VULNERABILITY.

Document information

More support for: Lotus Protector for Mail Security

Software version: 1.6, 1.8, 2.1, 2.2.2, 2.2.3, 2.3, 2.4, 2.5, 2.5.1, 2.6, 2.8, 2.8.1

Operating system(s): Firmware

Reference #: 1686299

Modified date: 14 October 2014


Translate this page: