{}

シュナイダーエレクトリックのブランド

Impact-Company-Logo-English Black-01-177x54

シュナイダーエレクトリックのWebサイトへようこそ

シュナイダーエレクトリックのWebサイトへようこそ。
FAQを参照する
[セキュリティ情報] PowerChute Network Shutdown v3.1 VMware仮想アプライアンスのBASHの脆弱性の影響について (2014年9月公開)

このページでは、PowerChute Network Shutdown v3.1 VMware 仮想アプライアンスのBASH脆弱性の影響について説明しています。

BASHは、Linux など UNIX 系の OS に含まれるコマンドを実行するためのシェルです。
BASHには、任意のOSコマンドを実行されるという脆弱性が発見され、修正パッチが公開されています。
脆弱性の詳細については、以下のサイトを参照してください。
https://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-004431.html

PowerChute Network Shutdown version 3.1のVMware仮想アプライアンスは、このBASHの脆弱性の影響を受けます。


【対象製品とバージョン】
PowerChute Network Shutdown Version 3.1 VMware仮想アプライアンス

* v4.0以降は本脆弱性の影響を受けません


【解決方法】
脆弱性がある場合は、OSをアップデートしてください。
以下の手順で脆弱性の確認とOSアップデートができます。

1.仮想アプライアンスが、この脆弱性の影響を受けるかどうか、以下のコマンドを実行して確認することができます。
コマンドの結出力果により脆弱性の有無を確認できます。
脆弱性が解決されている状態では以下のような出力結果が得られます。
なお、この際にWarning Message (Syntax Error)が表示されることがありますが、
これは古いパッチを適用した場合に表示されるもので、脆弱性の有無とは関係ありません。

2.脆弱性がある場合、以下のコマンドを実行してください。この脆弱性を解消するためにOSアップデートを実行します。
BASHパッケージのみをアップデートする場合(その他のパッケージにアップデートがある場合でも
アップデートを実施しない)は、以下のコマンドを実行してください。

3. 以下のコマンドを実行し、"vulnerable"の文字が出力されず、 脆弱性が解消されていることを確認します。
脆弱性の有無は手順1の説明を参照ください。
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
"vulnerable"の文字が表示された場合: 脆弱性がある状態
"vulnerable"の文字が出ない場合: 脆弱性が解決された状態

出力結果例1:
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test

出力結果例2:
this is a test
yum update
yum update bash
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"


【外部ネットワーク接続がない場合】
もしシステムが外部ネットワークに接続しておらず、yumコマンドを利用できない場合は、以下のステップに従ってください。

1. 外部ネットワークに接続している環境で、以下のサイトよりファイル「bash-3.2-33.el5_11.4.x86_64.rpm」を
ダウンロードしてください。
http://vault.centos.org/5.11/updates/x86_64/RPMS/

2. 上記のステップでダウンロードしたファイルをFTPユーティリティ(WinSCPやFilezilla等)を用いて
PowerChute Network Shutdownアプライアンスにコピーしてください。
(この際、コネクションをSFTPに設定してください。)
3. 以下のコマンドを実行し、アップデートを実施してください。
rpm -U< bash-3.2-33.el5_11.4.x86_64.rpm を保存したディレクトリのフルパス>
例) rpm -U /opt/bash-3.2-33.el5_11.4.x86_64.rpm

* PowerChute Network Shutdown v3.1 はサポートを終了いたしましました

初回公開日 : 2014年9月
最終更新日 : 2018年3月 RPMダウンロード先URL 変更

Schneider Electric 日本

詳細を見る
製品群:
役立つ可能性のある記事
詳細を見る
製品群: