2014年9月26日に更新しましたブログ記事でご案内しました、LinuxなどのUNIX系OSで標準的に使われているシェル「bash」の新たな脆弱性「aftershock」(CVE-2014-6277、CVE-2014-6278、CVE-2014-7169)に対して、弊社製品につきましても影響を受ける可能性があることが判明致しましたので、ご案内申し上げます。

影響を受ける可能性があるバラクーダネットワークス製品は以下のとおりとなります。

Spam & Virus Firewall
Web Filter
Message Archiver
Load Balancer
Load Balancer ADC
Link Balancer
Web Application Firewall
NextG Firewall
SSL VPN
Backup
Firewall

本脆弱性に対する対応について(Barracuda NextG Firewallを除く全製品)

既にセキュリティ定義ファイル、バージョン2.1.14193のアップデートによる修正を提供しております。このため、インターネットに接続されており、定義ファイルの自動更新が有効になっている機器については、既に修正が適用されております。セキュリティ定義ファイルのバージョンは、[高度な設定]>[エネルギー充填サービス]>[セキュリティ定義更新]でご確認頂けます。

もし管理・運用されている機器で定義ファイルの自動更新が無効に設定されている場合、以下手順で速やかに手動でのアップデートを実施ください。
※上位ファイアウォールで機器のシステムIPからインターネットに対し、アウトバウンドにTCPポート80番(HTTP)が開放されている必要があります。

自動更新が有効にもかかわらず、セキュリティ定義ファイルバージョン2.1.14193が適用されていない場合は、バラクーダネットワークステクニカルサポートまでお問い合わせください。

※Barracuda Backupについては、GUIに[高度な設定]>[エネルギー充填サービス]>[セキュリティ定義更新]メニューがありませんが、自動更新されており、対応済みです。

定義ファイルの自動更新が無効の場合のバージョンアップ方法

  1. 管理画面に接続し、[高度な設定]>[エネルギー充填サービス]>[セキュリティ定義更新]で最新バージョンが「2.1.14193」と表示されていることを確認して下さい。
  2. [更新]ボタンを押して最新バージョンをダウンロード、インストールして下さい。

本脆弱性に対する対応について(Barracuda NextG Firewall)

対策パッチ(Hotfix)が既に提供されております。以下のサイトからHotfixをダウンロードして頂き、適用をお願いします。

NEW Hotfix 638 v5.2.11 - bash vulnerability
対象バージョン:5.2.0 - 5.2.11
修正CVE番号:CVE-2014-6271, CVE-2014-7169, CVE-2014-7186, CVE-2014-7187

ダウンロードサイト
https://copy.com/fkxp1FJtY6ZL/bash-638-5.2.11-75127.tgz?download=1

Hotfix 637 v5.4.4 - bash vulnerability
対象バージョン:5.4.1 - 5.4.4
修正CVE番号:CVE-2014-6271, CVE-2014-7169, CVE-2014-7186, CVE-2014-7187 ダウンロードサイト
https://copy.com/90QnUswxpcqb/bash-637-5.4.4-75128.tgz?download=1

本件に関するご質問につきましては、jpinfo@barracuda.comまでお問い合わせください。

バラクーダネットワークス(Barracuda Networks)

本稿は、バラクーダネットワークスのWebサイトに掲載されている『バラクーダラボ』10月1日付の記事の転載です。