一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は9月25日、「GNU bash」の脆弱性に関する注意喚起を発表した。GNU bashの環境変数の処理には脆弱性(CVE-2014-6271)があり、外部からの入力がGNU bashの環境変数に設定される環境において、リモートの攻撃者によって任意のコードが実行される可能性がある。影響を受けるバージョンは以下の通り。Bash 4.3 Patch 25 およびそれ以前Bash 4.2 Patch 48 およびそれ以前Bash 4.1 Patch 12 およびそれ以前Bash 4.0 Patch 39 およびそれ以前Bash 3.2 Patch 52 およびそれ以前Bash 3.1 Patch 18 およびそれ以前Bash 3.0 Patch 17 およびそれ以前なお、ディストリビュータが提供しているbashを使用している場合は、ディストリビュータの情報を参照のこと。本脆弱性を修正したパッチが公開されているが、現段階で修正が不十分であるため、JPCERT/CCでは「GNU bashを代替のシェルに入れ替える」「WAFやIDSを用いて脆弱性のあるサービスへの入力にフィルタをかける」「継続的なシステム監視を行う」といった回避策を適用するよう勧めている。
