サービス情報

クララオンライン|カスタマーサポート

ホーム > お知らせ一覧 > お知らせ記事

お知らせ

お客様による bash アップデート方法

2014/9/25 (木) 更新

平素は弊社サービスをご利用いただきましてありがとうございます。

問題の概要

このたび、多くのUNIX系OSで標準的に使われるシェル(ユーザからの操作を受け 付け、結果を表示するソフトウェア)の一つ。また、それを実行するコマンドで ある「bash」にリモートから任意のコマンドが実行される可能性のある脆弱性が 公表されました。


詳細につきましては、以下の注意喚起をご参照ください。
bash の脆弱性 (CVE-2014-6271,CVE-2014-7169) に関する注意喚起

なお、今回の脆弱性におきましては、bash のアップデートをお勧めいたします。

本ページでは、お客様ご自身にてbash をアップデートする方法をご案内いたします。

セキュリティパッチ適用対象OS及びバーション対照表(CVE-2014-7169 の脆弱性の修正パッケージ)

RHEL 4 bash-3.0-27.el4.2以降
RHEL 5 bash-3.2-33.el5_11.4以降
CentOS 5 bash-3.2-33.el5_10.4以降
CentOS/RHEL 6 bash-4.1.2-15.el6_5.2以降
※2014年9月26日現在の情報となります。 CVE-2014-6271 および、 CVE-2014-7169 の修正パッケージのバージョンとなります。
※RHEL4は有償サポート延長プログラムをご購入のお客様のみがアップデート可能となります。
※CentOS 4は、ベンダーのサポート終了のため、パッチが提供されておりませんので、
アップデートはできません。
※Microsoft Windows のサーバは、弊社サービス環境におきましては本脆弱性の影響はございません。

アップデートに関する注意事項

  • 本手順は無保証となります。作業をされる際は、お客様の責任にておこなっていただけますようお願いいたします。
  • お客様にて初期設定から設定をカスタマイズしている場合は、以下のアップデート手順で正常にアップデートできない可能性がございます。ご注意ください。
  • 弊社ではお客様サーバの OS に対応した OS ディストリビュータより提供された純正パッケージでのアップデートを強く推奨いたします。

bash アップデート方法

(1). SSH にてサーバにログイン

SSH にてサーバにログインし、root ユーザに切り替えます。

(2). OSのバージョン確認方法

対象のOSバージョンである事を確認します。

# cat /etc/redhat-release
(3). インストールされているパッケージの確認

対象のOSバージョンである事を確認します。

# rpm -qa | egrep '^bash'

特に何も表示されない場合には、bash パッケージがインストールされておりませんので、脆弱性の影響はございません。bash から始まる文字列が表示された場 合、バージョン番号をご確認いただき、脆弱性の影響を受けるリリースパッケー ジかどうかご確認ください。bash のバージョン確認ページ。

(4). アップデートの実施

以下のコマンドを実行し、アップデートを行います

Red Hat Enterprise Linux 4 の場合
# up2date -u bash-*
CentOS 5/6 、Red Hat Enterprise Linux 5/6 の場合
# yum update bash-*
(5). bashパッケージのバージョン確認
# rpm -qa | egrep '^bash'

Bash パッケージのバージョンが、以下のページに記載されているリリース番号と同じになっているかどうかを確認します。