IBM Support

Bash脆弱性に対するIBM WebSphere Application ServerおよびIBM HTTP Serverへの影響について (CVE-2014-6271 / CVE-2014-6277 / CVE-2014-6278 / CVE-2014-7169 / CVE-2014-7186 / CVE-2014-7187)

Flashes (Alerts)


Abstract

IBM WebSphere Application Server および IBM HTTP Server 自身は、CVE-2014-6271およびCVE-2014-7169として報告されている Bashに関する脆弱性の影響を受けません。ただし、お客様自身で脆弱となる可能性のあるスクリプトをIBM HTTP Server より利用されている場合は、必要なアクションを実施してください。

Content

Bourne Again Shell (Bash)において、通称Shellshock脆弱性と呼ばれる CVE-2014-6271 / CVE-2014-6277 / CVE-2014-6278 / CVE-2014-7169 / CVE-2014-7186 / CVE-2014-7187が報告されています。BashはUNIX/Linuxプラットフォームで利用されるシェルの一種で、修正モジュールは各UNIX/Linux OS提供元より提供されます。IBM WebSphere Application Server (WAS) および IBM HTTP Server (IHS) は、Bash 自身および脆弱となり得るCGIスクリプトを同梱して出荷しておりません。また、脆弱となり得るBash の利用を一切行なっておりません。
ただし、IHSのいくつかのモジュールは、お客様の利用方法によっては脆弱となり得る可能性があるため、必要なアクションを実施してください。

お客様がBash に依存したシェル・スクリプトを次のいずれかのIHS/Apache HTTP Serverモジュールで利用している場合、脆弱性の影響を受ける可能性があります。
- mod_cgi
- mod_cgid
- mod_fastcgi
- mod_include
- mod_ext_filter

デフォルトの設定は下記のとおりです。
 
mod_cgi / mod_cgid $IHS_ROOT/cgi-bin/ 以下(※)に配置したスクリプトを呼び出すことができますが、デフォルトでは該当ディレクトリー配下にはどんなスクリプトも配置していません。
mod_include ロードされていますが、Options +Includes および XbitHack ON による構成が行われていないため、どんなincludeの処理も実施されません。
mod_fastcgi / mod_ext_filter ロードも構成もされていません。

※ スクリプトを実行するディレクトリーはScriptAlias ディレクティブもしくはExecCGIを含むOptionsディレクティブにより変更可能です。

上記設定は、httpd.conf およびそこからInclude ディレクティブにより呼びだされている設定ファイル、もしくは.htaccess により構成されます。
下記コマンドを実行することで、使用中の構成ファイル(下記の例では、/opt/IBM/HTTPServer/conf/httpd.conf )でロードしているモジュールの一覧を取得することができますのでご利用ください。

例)
# /opt/IBM/HTTPServer/bin/apachectl -M -f /opt/IBM/HTTPServer/conf/httpd.conf

【IBMからのお願い】
UNIX/Linux OS提供元より今回のBash 脆弱性に対する修正モジュールを入手し、OSへ適用することを強くお勧めいたします。もし、今すぐ修正モジュールの適用ができない場合、もしくは呼び出されるシェル・スクリプトを特定できない場合、一時的にIHSのモジュールmod_cgid、mod_cgi、mod_fastcgi、 mod_include、mod_ext_filter をロードしないようにすることをお薦めいたします。

最新の情報については、下記URLの文書(英語)もご参照ください。
IBM HTTP Server and IBM WebSphere Application Server (Bash vulnerabilities)
http://www.ibm.com/support/docview.wss?uid=swg21685433

【関連情報】
CVE-2014-6271
CVE-2014-6277
CVE-2014-6278
CVE-2014-7169
CVE-2014-7186
CVE-2014-7187

【変更履歴】
2014/10/21 対象CVE番号追加
2014/09/30 初版発行

[{"Product":{"code":"SSEQTJ","label":"IBM HTTP Server"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Component":"--","Platform":[{"code":"PF002","label":"AIX"},{"code":"PF010","label":"HP-UX"},{"code":"PF016","label":"Linux"},{"code":"PF027","label":"Solaris"}],"Version":"8.5.5;8.5;8.0;7.0","Edition":"All Editions","Line of Business":{"code":"LOB45","label":"Automation"}}]

Document Information

Modified date:
25 September 2022

UID

swg21685798