Bash is the Bourne Again SHell

Appleは9月29日(米国時間)、「About OS X bash Update 1.0」において、bashのセキュリティ脆弱性(通称:Shellshock)に対応するためのパッチ提供を開始した。Appleはデフォルトの設定であればMac OS XにおけるShellshockの影響力は小さいとしており、今回のパッチは開発者やsshd(8)などを活用しているパワーユーザ向けの措置となる。将来のアップデートで同脆弱性に関するパッチが取り込まれるのではないかと見られる。

Shellshockは2014年4月に発覚したOpenSSLのセキュリティ脆弱性Heartbleedよりも影響範囲が広く、またそのインパクトも強いと推測されており、発覚以降さまざまなベンダやプロジェクト、管理者やユーザが対応に追われている。 例えば、さくらインターネットは「【重要】GNU bash の脆弱性に関する注意喚起」、GMO CLOUDは「GNU Bash における脆弱性への対応のお願い」、 KDDI ウェブコミュニケーションズは「【重要】UNIX 系 OS のシェル [bash] の脆弱性(CVE-2014-6271、CVE-2014-7169)に関する当社サービスへの影響と対応について(第一報)」において、Shellshock脆弱性への注意喚起と情報提供を実施している。

また、Perlプロジェクトは「Perl and Shellshock」において、「PerlそのものはShellshockの影響を受けないと考えられるが、使い方によってはこの脆弱性の影響を受けると指摘。OpenDNSは「Bash, Shellshock and Security: What You Need To Know」において、同社のインフラはこの脆弱性の影響を受けないとしつつも注意を喚起している。

IPFireは「IPFire 2.15 - Core Update 83 released」においてShellshockに対応したバージョンをリリース。Cloudius Systemsは「Shellshock」において、Shellshock脆弱性を指摘しつつ、クラウド向けOS「OSv」のアプローチの優位性を説明している。

こうした報告は、今後もさまざまなベンダやプロジェクトから提供されると見られる。Shellshockは想定される影響範囲が広いほか、プロセスのフォークのメカニズムに詳しくない開発者は自身が開発しているソフトウェアにShellshockが存在していることを認識していない可能性が考えられる。オープンソースソフトウェアはさまざまなプロジェクトから提供されているソフトウェアを活用していることから、OSのプロジェクトから提供される情報だけでは対応状況を網羅することが難しいと言える。したがって、引き続きさまざまなソフトウェアの情報提供に注目し、アップデート版が公開された場合は迅速に検討し、適用していくことが推奨される。