脆弱性の内容
現象
2014年9月24日に報告されましたGNU bashの脆弱性(CVE-2014-6271, CVE-2014-7169, CVE-2014-7186, CVE-2014-7187, CVE-2014-6277, CVE-2014-6278)によるAPC UPS(無停電電源装置)製品の影響は以下の通りです。
脆弱性については以下を参照ください。
発生条件
UPS管理ソフト(PowerChute Network Shutdown v3.2 Virtualization)に同梱の仮想アプライアンスを使用している場合。
回避方法
当該仮想アプライアンスが動作しているサーバを外部ネットワークから切り離してください。
対象製品
下記の製品が脆弱性の影響を受ける製品です。
製品同梱の仮想アプライアンスを使用しない場合、本脆弱性の影響はありません。
また、下記以外のAPC UPS(無停電電源装置)関連製品に本脆弱性の影響はありません。
| 製品名 |
形名 |
PowerChute Network Shutdown v3.2
Virtualization(製品同梱の仮想アプライアンス)
(UPS管理ソフト) |
GQS-VSU7BLE320 |
対策方法
対策ファイル「bash-3.2-33.el5_11.4.x86_64.rpm」を適用します。以下に手順を記します。
- 下記のサイトより対策ファイル「bash-3.2-33.el5_11.4.x86_64.rpm」をダウンロードしてください。
http://vault.centos.org/5.11/updates/x86_64/RPMS/
- FTPソフト(WinSCPなど)のSFTPでダウンロードした対策ファイルを仮想アプライアンス上の任意のパスにコピーしてください。
※FTPではアクセスできません。必ずSFTPでアクセスしてください。
- 仮想アプライアンスにrootでログインします。
- 下記コマンドを入力して対策ファイルを適用します。
rpm△-U△<コピーした対策ファイルのフルパス>
※△は半角スペースです。
※実行時に”warning:〜“と表示されますが問題ありません。
- 脆弱性の対策がなされていることを以下のコマンドを実行して確認します。
env△x='()△{△:;};△echo△vulnerable'△bash△-c△"echo△this△is△a△test"
※△は半角スペースです。
※誤入力した場合、対策確認ができません。正確に入力してください。
- 表示されたメッセージによって以下を実施してください。
- “this is a test”のみが表示された場合
脆弱性の対策は完了しています。ログアウトして作業を終了してください。
- “vulnerable”と“this is a test”が表示された場合
脆弱性の対策はできていません。対策ファイル名などを確認して手順1.から再度実施してください。
問合せ先
各製品のサポート窓口にお問合せください。
更新履歴
2018年4月26日 : 対策ファイルのダウンロードサイトURLを更新しました。
2014年11月24日 : このセキュリティ情報ページを新規作成および発信しました。
- 弊社では、セキュリティ対応に関して正確な情報を提供するよう努力しておりますが、セキュリティ問題に関する情報は変化しており、当ホームページで記載している内容を予告なく変更することがありますので、あらかじめご了承ください。情報ご参照の際には、常に最新の情報をご確認いただくようお願いします。
- 当ホームページに記載されている製品には、他社開発製品が含まれております。これらのセキュリティ情報については他社から提供、または公開された情報を基にしております。弊社では、情報の正確性および完全性について注意を払っておりますが、開発元の状況変化に伴い、当ホームページの記載内容に変更が生じることがあります。
- 当ホームページはセキュリティ情報の提供を目的としたものであり、法律上の責任を負うものではありません。お客様が独自に行なった(あるいは行なわなかった)セキュリティ対応その他のご行為の結果につきまして、弊社では責任を負いかねます。
- 当ホームページから他サイトのページへのリンクアドレスは情報発信時のものです。他サイトでの変更などを発見した場合には、リンク切れ等にならないように努力はいたしますが、永続的にリンク先を保証するものではありません。
検索
Japan