Search the VMware Knowledge Base (KB)
View by Article ID

特殊な細工がされた環境変数による Bash のコード インジェクションの脆弱性に対する VMware の修正(CVE-2014-6271、CVE-2014-7169、CVE-2014-7186、CVE-2014-7187、CVE-2014-6277、CVE-2014-6278、別名「Shellshock」) (2090848)

  • 0 Ratings

Symptoms

免責事項:これは英文の記事 「VMware remediation of Bash Code Injection Vulnerability via Specially Crafted Environment Variables (CVE-2014-6271, CVE-2014-7169, CVE-2014-7186, CVE-2014-7187, CVE-2014-6277, CVE-2014-6278, aka "Shellshock") (2090740)」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。 最新情報は英語版の記事で参照してください。

Purpose

2014 年 9 月 24 日、リモート コードが実行されるおそれがある、Bash の重大な脆弱性が公開されました(CVE-2014-6271CVE-2014-7169)。 これに続き、CVE-2014-7186CVE-2014-7187CVE-2014-6277、および CVE-2014-6278 で特定される Bash の脆弱性がさらに報告されました。

VMware Security Engineering, Communications, and Response グループ (vSECR) は、これらの脆弱性が VMware 製品に対して与える影響を調査してきました。 アセスメントの結果、次のセクションで説明するように、VMware 製品の更新バージョンやパッチがリリースされました。

: VMware のカスタマー ポータルおよび Web サイトの詳細については、「VMwareカスタマーポータルとウエブサイトにおけるBashコードを挿入する脆弱性の影響 (CVE-2014-6271 CVE-2014-7169, 別名: "Shellshock") (2090874)」を参照してください。

Resolution

製品

  • vSphere ESXi/ESX ハイパーバイザー
    ESXi 4.0、4.1、5.0、5.1、および 5.5 は、(busybox を介して)Bash shell で報告された脆弱性の影響を受けない Ash shell を使用するため、影響を受けません。

    ESX 4.0 および 4.1 には、Bash shell で脆弱性のあるバージョンがあります。 ESX 4.0 および ESX 4.1 の修正の詳細については、VMSA-2014-0010 を参照してください。

    : 熟慮の結果、VMware では、Bash shell の脆弱性に対して使用可能な VMware ESX 4.0 および 4.1 のセキュリティ パッチを作成しました。 このセキュリティ パッチ リリースは、既存の VMware lifecycle policy に対する例外です。 VMware では、報告された Bash 脆弱性のクリティカルな重大度、および過去 4 ヶ月以内に一般サポートの終了を迎えた製品のために、この例外処理を行いました。 すべてのお客様に、VMware の最新リリースにアップグレードすることをお勧めします。 お客様をあらゆる方法で支援する VMware Global Services チームをご利用いただけます。

    Cisco Nexus 1000V Virtual Ethernet Module (VEM) for ESXi は、基になる脆弱性の影響を受けません。 Cisco Nexus 1000V Virtual Supervisor Module (VSM) のステータスについては、以下を参照してください。

  • Windows で動作する製品
    Windows 上で動作する vCenter Server の全バージョンを含む Windows ベースの製品は、影響を受けません。

  • 仮想アプライアンスまたはアプライアンスとして出荷された製品
    下記に挙げる(仮想)アプライアンスは、該当するバージョンの Bash とともに出荷されています。 VMware では、Bash の脆弱性がこれらのアプライアンスに対して流用される可能性があることを示していないものの、それらを再リリースする予防措置を講じています。

    VMware Security Advisory VMSA-2014-0010」には、最新のパッチまたは更新情報が含まれています。 一部の製品では、パッチと製品アップデートの両方が用意されています。 一般的に、パッチが用意されている場合は、パッチをアプライアンスの最新バージョンに適用する必要があります。

    お客様は、VMSA-2014-0010 に記載されている特定の製品のナレッジ ベースの記事を参照し、利用可能な修正のタイプ、および該当するアプライアンスのバージョン番号を理解する必要があります。

    VMware(仮想)アプライアンス
    • EVO:RAIL 1.0(EVO:Rail は vCenter Server Appliance および vRealize Log Insight(旧称 vCenter Log Insight)とともに出荷され、これらのアプライアンスの更新バージョンとともに再リリースされる予定)(修正の詳細については、VMware ナレッジ ベースの記事「EVO:RAIL 1.0 Patch Release for Shell Shock Vulnerability (2091654)」を参照)
    • Horizon DaaS Platform 6.x(修正の詳細については、「VMSA-2014-0010」を参照)
    • Horizon Workspace 1.x、2.x。 (修正の詳細については、「VMSA-2014-0010」を参照)
    • vRealize Business Advanced および Enterprise(旧称 IT Business Management)1.x(修正の詳細については、「VMSA-2014-0010」を参照)
    • NSX for Multi-Hypervisor 4.x(修正の詳細については、「VMSA-2014-0010」を参照)
    • NSX for vSphere 6.x(修正の詳細については、「VMSA-2014-0010」を参照)
    • NVP 3.x(修正の詳細については、「VMSA-2014-0010」を参照)
    • vCenter Application Discovery Manager 7.x(修正の詳細については、「VMSA-2014-0010」を参照)
    • vCenter Converter Standalone 5.x(vCenter Converter Standalone は仮想アプライアンスではありませんが Bash の脆弱なバージョンが含まれています)(修正の詳細については、「VMSA-2014-0010」を参照)
    • vRealize Hyperic(旧称 vCenter Hyperic)5.x(修正の詳細については、「VMSA-2014-0010」を参照)
    • vRealize Infrastructure Navigator(旧称 vCenter Infrastructure Navigator)5.x(修正の詳細については、「VMSA-2014-0010」を参照)
    • vRealize Log Insight(旧称 vCenter log Insight)1.0、2.0(修正の詳細については、「VMSA-2014-0010」を参照)
    • vRealize Operations Manager(旧称 vCenter Operations Manager)5.x(修正の詳細については、「VMSA-2014-0010」を参照)
    • vRealize Orchestrator Appliance(旧称 vCenter Orchestrator Appliance)4.x、5.x(修正の詳細については、「VMSA-2014-0010」を参照)
    • vCenter Server Appliance 5.x(修正の詳細については、「VMSA-2014-0010」を参照)
    • vCenter Site Recovery Manager 5.x(vCenter Site Recovery Manager は vSphere Replication とともに出荷されており、このアプライアンスの更新バージョンとともに再リリースされる予定)(修正の詳細については、「VMSA-2014-0010」を参照)
    • vCenter Support Assistant 5.x(修正の詳細については、「VMSA-2014-0010」を参照)
    • vRealize Application Services(旧称 vCloud Application Director)5.x、6.x(別名「vFabric Application Director」)(修正の詳細については、「VMSA-2014-0010」を参照)
    • vRealize Automation(旧称 vCloud Automation Center)6.x(注:vRealize Automation 5.x は仮想アプライアンスではありません)(修正の詳細については、「VMSA-2014-0010」を参照)
    • vCenter Automation Center Application Services 6.x(修正の詳細については、「VMSA-2014-0010」を参照)
    • vCloud Director 5.x Appliance(修正の詳細については、「VMSA-2014-0010」を参照)
    • vCloud Connector 2.x(修正の詳細については、「VMSA-2014-0010」を参照)
    • vCloud Networking and Security 5.x(別名「VMware Shield 5.x」)(修正の詳細については、「VMSA-2014-0010」を参照)
    • vCloud Usage Meter 3.x(修正の詳細については、「VMSA-2014-0010」を参照)
    • vFabric Postgres 9.x(修正の詳細については、「VMSA-2014-0010」を参照)
    • Viewplanner 3.x(修正の詳細については、「VMSA-2014-0010」を参照)
    • VMware Application Dependency Planner(修正の詳細については、「VMSA-2014-0010」を参照)
    • VMware Data Recovery 2.x(修正の詳細については、「VMSA-2014-0010」を参照)
    • VMware HealthAnalyzer 5.x(修正の詳細については、「VMSA-2014-0010」を参照)
    • VMware Mirage Gateway 5.x(修正の詳細については、「VMSA-2014-0010」を参照)
    • VMware Socialcast On Premise 2.x(修正の詳細については、「VMSA-2014-0010」を参照)
    • VMware Studio 2.x(修正の詳細については、「VMSA-2014-0010」を参照)
    • VMware Workbench 3.x(修正の詳細については、「VMSA-2014-0010」を参照)
    • vSphere App HA 1.x(修正の詳細については、「VMSA-2014-0010」を参照)
    • vSphere Big Data Extensions 1.x、2.x(修正の詳細については、「VMSA-2014-0010」を参照)
    • vSphere Data Protection 5.x(修正の詳細については、「VMSA-2014-0010」を参照)
    • vSphere Management Assistant 5.x(修正の詳細については、「VMSA-2014-0010」を参照)
    • vSphere Replication 5.x(修正の詳細については、「VMSA-2014-0010」を参照)
    • vSphere Storage Appliance 5.x(修正の詳細については、「VMSA-2014-0010」を参照)

    重要: VMware では、アプライアンスへのアクセスをファイアウォール ルールで制限し、その他のネットワーク レイヤでは信頼済みの IP アドレスのみを通すように制御することをお勧めします。 この対策により、これらのアプライアンスに対するリスクが大幅に軽減されます。

  • Linux、Android、Mac OS、または iOS 上で動作する製品(仮想アプライアンスを除く)
    Linux、Android、Mac OS、または iOS 上で動作する製品(仮想アプライアンスを除く)は、オペレーティング システムの一部である Bash を使用する場合があります。 脆弱なバージョンの Bash がオペレーティング システムに含まれていた場合、Bash のセキュリティ上の脆弱性が製品を介して悪用される可能性があります。 VMware では、使用しているオペレーティング システムのベンダーに問い合わせ、パッチについて確認することをお勧めしています。

    このカテゴリの製品の例としては、VMware Workstation、VMware Fusion、および AirWatch MDM ソフトウェアがあります。
サービス
  • AirWatch MDM Cloud Services – 現時点で VMware は、このサービスで Bash のコード インジェクションの脆弱性が悪用されたという確証を得ていません。
  • Horizon DaaS – 影響なし
  • vRealize Business Advanced and Enterprise(旧称 IT Business Management) – 2014 年 9 月 26 日に Bash のパッチ適用済み
  • Socialcast – 2014 年 9 月 26 日に Bash のパッチ適用済み
  • vCloud Air – 現時点で VMware は、このサービスで Bash のコード インジェクションの脆弱性が悪用されたという確証を得ていません。 多くの vCloud Air のお客様が環境をカスタマイズしており、そこに脆弱な Linux 仮想マシンが含まれる可能性があることを把握しています。 VMware では、お客様が個々の環境を評価し、脆弱な仮想マシンにパッチを適用することをお勧めしています。

Additional Information

この記事の更新時にアラートを受信する場合は、Actions ボックスで Subscribe to Document をクリックしてください。

Tags

日本語 Japanese

See Also

Update History

09/26/2014 - 仮想アプライアンスの情報を追加しました。 09/27/2014 - 影響のある仮想アプライアンス、ESXi/ESXバージョン、サービスのリストをアップデートし、ガイダンスを追加しました。 09/29/2014 - 新しいCVEを追加し、影響のある製品、サービスをアップデートし、AriWatch MDM Cloud Servicesの情報をアップデートしました。 09/30/2014 - パッチ情報を追加しました。 10/01/2014 - パッチ情報を追加しました。 10/03/2014 - パッチ情報を追加しました。 10/04/2014 - パッチ情報を追加しました。 10/05/2014 - パッチ情報を追加しました。 10/06/2014 - パッチ情報を追加しました。 10/07/2014 - パッチ情報を追加しました。

Request a Product Feature

To request a new product feature or to provide feedback on a VMware product, please visit the Request a Product Feature page.

Feedback

  • 0 Ratings

Did this article help you?
This article resolved my issue.
This article did not resolve my issue.
This article helped but additional information was required to resolve my issue.

What can we do to improve this information? (4000 or fewer characters)




Please enter the Captcha code before clicking Submit.
  • 0 Ratings
Actions
KB: