KEMP社製品 CVE-2014-7169 CVE-2014-6271 セキュリティ情報

2015/07/10

KEMP Technologies社からセキュリティ情報が発表されました。
アナウンスされたサイトは以下のURLです。

https://support.kemptechnologies.com/hc/en-us/articles/202385495-LoadMaster-Vulnerability-Mitigation-for-CVE-2014-7169-and-CVE-2014-6271

以下は、文面の要訳です。

既に非公式な脆弱性情報として公開されていましたが、UnixのBash Shellの脆弱性が発見されました。これは、MAC OSX、Linuxアプリケーション、アプライアンスなど、多くのシステムに影響します。この脆弱性で、アタッカーは基本情報の問合せを行うことで、遠隔からの不正コードとサーバ側のCGIアプリケーションを実行ができてしまいます。脆弱性の詳細は、NIST National Vulnerability Database と RedHat’s SecurityBlog.で確認できます。
KEMP社は、LoadMaster WUIのユーザ認証で脆弱性があることを確認しました。ただし、認証されないユーザでは脆弱性はみつかりませんでした。LoadMaster 7.1-20bで脆弱性を改善しています。このバージョンはパフォーマンスの強化も行われており、リスク回避を求めるお客様では、最適のファームウェアです。また、このバージョンは、遠隔のコマンド実行の防止(認証ユーザなどの)によるShellShockに対応しています。
LoadMasterはどのバージョンであれ、管理インターフェースはインターネットからの直接アクセスできる状態にせず、適切な保護をすることをお願いしています。ShellShockの特性において、LoadMasterで利用される可能性がある脆弱性については、以下のリストで提供します。LoadMasterの継続した改善で、これらはバージョン7.1-16で対処済みです。

  • ・他のLoadMasterを介したルートアクセスは出来ませんが、balの認証では、リードオンリファイルシステムでアクセスできてしまいます。この対応は、バージョン7.1-20bで対処済みです。
  • ・SSH経由でLoadMasterに環境変数を渡すことはできません。
  • ・DHCPDはShellスクリプトをコールしないため適応されません。

パッチ:
バージョン7.xのお客様は、7.1-20bのパッチを適応してください。
バージョン6.xのお客様は、7.1-20bのパッチを適応する前に、バージョン6.0-42にアップグレイドしてください。