テクニカルトピックス


【2014.10.7】shellshock対応について

9月24日、bashの「shellshock」と呼ばれる脆弱性(CVE-2014-6271)が公表されました。
http://www.cvedetails.com/cve/CVE-2014-6271

これは、環境変数にある特殊な構文の bash コードがセットされていると、bash の起動時にそのコードが勝手に実行してしまう、というものです そのため、外部からいずれかの環境変数に書き込むことができると、ShellShock の脆弱性をついた攻撃が可能になってしまい、これにより OSコマンドインジェクションという種類の攻撃が可能になります。

bash は起動時に、設定されている環境変数をReadして処理を行います。通常は環境変数の値としてコードが組み込まれていた場合でも実行はされず文字列として扱われます。
今回は、この処理の部分に不具合があり、bash 起動時の環境変数を読み込むタイミングでコードが実行できてしまうのが、今回の問題点です。

本記事作成時点では随時アップデートパッチが公開されていますので注意が必要です。

次に、Swivel PINsafeにおけるshellshock脆弱性対応についてご説明いたします。

Swivel PINsafeにおいては、アプライアンスへのアクセスは必ずSSHログインにより認証される必要があり、環境変数の書き換えはできない仕組みとなっているため、今回の脆弱性は該当しません。
しかしながら、順次リリースされる脆弱性対策のためのパッチを適用したバーチャルアプライアンス用パッチモジュールを順次公開していきます。
下記のページにパッチモジュールが順次公開されていますので、ご注意下さい。
なお、これらのパッチモジュールの適用でお使いの機器によるサービスの停止は発生しませんので、ご安心下さい。


バーチャルアプライアンス新バージョンと新製品のご紹介

Swivel Coreのバージョン3.10.2およびアプライアンスのバージョン2.0.16が利用可能になりました。 詳細は下記リリースノートをご参照ください。
https://kb.swivelsecure.com/wiki/images/e/eb/1409-RD-Version_3_10_2.pdf


このアップデートをぜひ御社および御社のお客様の環境に適用し新機能をご確認いただくことをお勧めいたします。

今回のリリースに含まれる新機能は次のとおりです。
●下記2つの方式のトークンをサポート
・タイムベース・ワンタイムパスワード(TOTP)トークン
・OATH Challenge-Response Algorithm(OCRA)トークン
●X509証明書のサポート
●マルチチャネル設定オプション
→ユーザはPINpad や TURingイメージによる認証(ブラウザやログイン画面での認証)と同時に、SMS、トークン、スマホアプリ等を認証で使えるようになりました。
●SwivelリモートLDAP同期クライアント
→複数のADとSwivel Serverがクラウド間で同期が出来るようになります。
※詳細は上記リリースノートをご参照下さい。

より詳細な情報および過去のバージョンに関する情報は下記ナレッジベースをご覧ください。
https://kb.swivelsecure.com/wiki/index.php/Versions_FAQ