［重要］GNU bash脆弱性問題の影響について（お知らせ）

04版 2015年4月
富士通株式会社

お客様各位
平素は、富士通製品をご愛顧いただきまして、誠にありがとうございます。

GNU Project が提供するGNU bashにおいて、遠隔より任意のコードが実行される脆弱性（CVE-2014-6271、 CVE-2014-7169、 CVE-2014-7186、CVE-2014-7187、 CVE-2014-6277、 CVE-2014-6278）の存在が報告されております。
これらの脆弱性の影響を受けるPRIMERGY関連製品について、お知らせいたします。
今後、本脆弱性の影響を受ける対象製品について、対応を順次公開してまいりますので、ご確認いただきますよう、お願いいたします。

1. 概要

GNU bash の脆弱性に関する注意喚起が、JPCERTより公開されております。

GNU Project が提供する GNU bash の環境変数の処理には脆弱性があります。外部からの入力がGNU bash の環境変数に設定される環境において、遠隔の第三者によって任意のコードが実行される可能性があります。
以下の版数のGNU bashが、本脆弱性の影響を受けます。

Bash 4.3 Patch 28 およびそれ以前
Bash 4.2 Patch 51 およびそれ以前
Bash 4.1 Patch 15 およびそれ以前
Bash 4.0 Patch 42 およびそれ以前
Bash 3.2 Patch 55 およびそれ以前
Bash 3.1 Patch 21 およびそれ以前
Bash 3.0 Patch 20 およびそれ以前

2. 影響を受ける可能性のあるPRIMERGY対象製品

CGI経由でOSコマンドを実行するウェブアプリケーションや、ウェブインターフェースを持つLinuxベースの組み込み製品などを通じて、遠隔から攻撃を受ける可能性があります。

GNU bash 脆弱性（CVE-2014-6271 等）への攻撃に利用される可能性のある製品一覧（309KB）［2015年4月7日］

3. お願いとお知らせ

本脆弱性の影響を受ける対象製品については、対策版を順次公開してまいりますので適用をお願いします。詳細につきましては、GNU bash 脆弱性（CVE-2014-6271 等）への攻撃に利用される可能性のある製品一覧を参照ください。
また、JPCERTのGNU bash の脆弱性に関する注意喚起のIII.対策、IV.回避策も併せてご参照ください。