Bashのセキュリティ修正

Bashの脆弱性を修正したパッケージを公開しました。

• 環境変数を通してリモートから任意のコマンドが実行できる可能性がある問題 (CVE-2014-6721, CVE-2014-7169)

Zabbixソフトウェアには本脆弱性により直接外部から攻撃を受ける問題は存在しません。外部チェック、ユーザーパラメータ、Webインターフェースのコマンド実行機能によりbashスクリプトを実行することは可能であるため、それらの機能を利用している場合にWebインターフェースへ設定権限を持つユーザーによって本脆弱性が悪用される可能性があります。

※ 2014/09/26追記

CVE-2014-6271にて行われた修正が不十分であったため、CVE-2014-7169として再度修正がアナウンスされています。bash_4.1-3+deb6u2にて修正を行っているため、bash_4.1-3+deb6u1をダウンロードされた場合は再度アップデートの実行をお願いします。

ZP-1200シリーズにおいても脆弱性の存在が確認されたためアップデートパッケージを公開しました。

ダウンロード

ZS-5200シリーズ

• bash_4.1-3+deb6u2_armel.deb

ZP-1200シリーズ

• bash_4.2+dfsg-0.1+deb7u3_armel.deb

関連情報

• CVE-2014-6271
• CVE-2014-7169
• GNU bash の脆弱性に関する注意喚起