| アーカイブ |
パッケージ : bash パッケージ 緊急アップデート
投稿日時: 2014-10-01 (3608 ヒット)
◆セキュリティアップデート情報
BSPv4,BSPv4.5 にて提供している bash パッケージにて、セキュリティに関する脆弱性(通称 : shellshock)が発見されました。
関連情報
- -----------------
- Vulnerability Summary for CVE-2014-6271
- http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271
- Vulnerability Summary for CVE-2014-7169
- http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7169 -----------------
- 更新:bash の脆弱性対策について(CVE-2014-6271 等)
- http://www.ipa.go.jp/security/ciadr/vul/20140926-bash.html -----------------
- GNU bash の脆弱性に関する注意喚起
- https://www.jpcert.or.jp/at/2014/at140037.html -----------------
NVD - Detail
IPA 情報処理推進機構
JPCERTコーディネーションセンター
脆弱性を含む 該当 bash パッケージ
問題対策方法としては、以下があります。ターゲット上での使用環境に合わせて対策を行ってください。
- bash-3.0-31u3 (BSP v4)
- bash-3.2-32u1 (BSP v4.5)
- bash-3.2-32u1.1 (BSP v4.5)
問題対策方法としては、以下があります。ターゲット上での使用環境に合わせて対策を行ってください。
※ ここで説明している手順は、生成されたプロジェクトに対してパッケージを追加、もしくはプロジェクトの設定を変更する手順となります。前もってプロジェクト生成を行っておいてください。
1) 対策済みパッケージを適用
- bash-3.2-33u.4.src.rpm
- 適用手順)
- 1) パッケージリスト画面の[編集]メニューから[パッケージの追加]を選択
- 2) パッケージリスト上の bash パッケージを選択
- 3) [参照]ボタンをクリックして、ファイル選択ウィンドウを表示
- DL したパッケージがあるディレクトリを表示します。
- 4) 追加する SRPM ファイルを選択し、[決定]ボタンをクリック
- 選択が終了するとパッケージリスト画面に追加したパッケージが赤色で表示されます。
- 5) [決定]ボタンをクリック
- 既に存在するパッケージは、異なるバージョンとして管理されるため、既に存在するパッケージの行に統合され、バージョン欄が黄緑色に変わりプルダウンで切り替えできるようになります。
- 6) [閉じる]ボタンをクリック
- 上記の手順終了後、bash パッケージの構築、急速構築、RFSの作成、デプロイを実行し、ターゲット上のシステムの更新を行ってください。
- 詳細は、Lineo uLinux ELITE ユーザーガイドの以下の章をご参照下さい。
- 「第4章 ELITEの機能」-「パッケージを追加するには」
2) bash パッケージを使用せず、代替シェルを使用
- ex) /bin/bash, /bin/sh を busybox パッケージのものに切り替える
- 設定変更手順)
- 1) ターゲットイメージエディタを表示
- 2) conflict view タブをクリックして、コンフリクトファイル一覧を開く
- 3) 一覧から /bin/bash を選択し、選択パッケージを bash から busybox へ変更
- 4) 一覧から /bin/sh を選択し、選択パッケージを bash から busybox へ変更
- 上記の手順終了後、RFSの作成、デプロイを実行し、ターゲット上のシステムの更新を行ってください。
- 詳細は、Lineo uLinux ELITE ユーザーガイドの以下の章をご参照下さい。
- 「第4章 ELITEの機能」-「CONFLICTを解消するには」