OneSpan製品におけるGNU Bash環境変数コマンドインジェクションの脆弱性

アドバイザリーID vasco-sa-20140930-bash

改訂番号 1.0

リリース日 2014年9月30日午後12:00 UTC + 1

最後の更新 2014年10月17日午後12:00 UTC + 1

概要

2014年9月24日、GNU財団はGNU Bashシェルの脆弱性を公式に発表しました。Bashは、Bourneシェル(sh)の代替としてGNUプロジェクトの一部として開発されたUnixシェルです。これは、GNUオペレーティングシステムの一部として広く配布されており、LinuxおよびOS Xのデフォルトシェルです。この脆弱性は、一般に「シェルショック」脆弱性と呼ばれています。

Telnet、SSH、Webサーバーなどの多くのインターネットデーモンがBashシェルを呼び出します。Bashシェルは、環境変数を使用して、そこから生成されたプロセスに情報を渡します。この脆弱性により、攻撃者は特別に細工された環境変数を使用して任意のコマンドをBashシェルに挿入することができます。

脆弱性の具体的な影響は、Bashシェルを使用するプロセスによって異なります。最悪の場合、認証されていないリモートの攻撃者が影響を受けるサーバーでコマンドを実行する可能性があります。

影響を受ける製品

次のOneSpan製品およびサービスはこの脆弱性の影響を受けます。

  • aXsGUARD Gatekeeper(すべてのバージョン)
  • IDENTIKEYフェデレーションサーバー(バージョン1.3、1.4および1.5)
  • MYDIGIPASS.COM

 

説明文

Bashシェルは、環境変数を使用して、そこから生成されたプロセスに情報を渡します。環境変数は、関数定義を格納するために使用できます。このような環境変数は「(){」で始まり、通常「};」で終わります。

ただし、Bashは関数定義の後に環境変数のコードを実行します。これにより、攻撃者は次のような関数定義を作成できます。

FUNCT =(){無視する; };エコーショック

これにより、Bashが環境変数を処理するときに、コード「echo shellshock」が実行されます。

この脆弱性がOneSpan製品に与える影響は、影響を受ける製品と製品の使用方法の性質によって異なります。

この脆弱性には、Common Vulnerabilities and Exposures(CVE)ID CVE-2014-6271およびCVE-2014-7169が割り当てられています。

重大度スコア

以下の表は、CVSS 2.0の脆弱性スコアを示しています。

1。認証を必要としない攻撃ベクトル

CVSS基本スコア:7.5
アクセスベクター アクセスの複雑さ

認証

機密性への影響 完全性への影響 可用性への影響
通信網 無し 部分的 部分的 部分的

 

CVSS時間スコア:7.1
悪用可能性 修復レベル 信頼を報告する
機能的 定義されていません 確認済み

 

2。認証を必要とする攻撃ベクトル

CVSS基本スコア:6.5
アクセスベクター アクセスの複雑さ 認証 機密性への影響 完全性への影響 可用性への影響
通信網 シングル 部分的  部分的 部分的

 

CVSS時間スコア:6.2
悪用可能性 修復レベル 信頼を報告する
機能的 定義されていません 確認済み

 

製品の修正

OneSpanは次の製品にパッチを適用しました。

  • aXsGUARD Gatekeeper 7.6.5、7.7.0、7.7.1、7.7.2および7.7.3

OneSpanは次のサービスにパッチを適用しました:

  • MYDIGIPASS.COM

OneSpanは次の製品のパッチをリリースします。

  • IDENTIKEY Federation Server 1.4.4および1.5.3、2014年10月22日にリリース

ロケーション

aXsGUARD Gatekeeper製品の場合:

OneSpanは、自動更新サービスを介してaXsGUARD Gatekeeper製品のパッチをすでに展開しています。システムがこのサービスを介して更新を受け取ることを許可しないお客様は、パッチの入手方法についてOneSpanにお問い合わせください。

その他の製品:

保守契約を結んでいるお客様は、MyMaintenanceから固定製品リリースを入手できます。保守契約をお持ちでないお客様は、営業担当までご連絡ください。

参照

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7169

法的放棄声明

本書に記載されているすべての内容と情報は、表現または保証がなく、明示的または黙示的な保証なしに、「現状のまま」かつ「入手可能な」状態で提供されます。完全性または適合性、または商品性または特定の使用または目的への適合性の保証を含む、いかなる保証。このドキュメント、提供された情報、またはこのドキュメントからリンクされている資料の使用は、ユーザー自身の責任で行ってください。VASCOは、このドキュメントの情報をいつでも、その裁量で、新しい情報または追加情報が利用可能になったときに変更または更新する権利を留保します。

Copyright©2014 VASCO Data Security、Inc.、VASCO Data Security International GmbH。全著作権所有。

OneSpan製品におけるGNU Bash環境変数コマンドインジェクションの脆弱性 s