バッファローからLinkStationのShellshock対応に関するメールが届いていました

　バッファローから、NAS製品（TeraStation・LinkStationシリーズ）におけるShellshock脆弱性に関するメールが届いていました。以下に一部を引用します。

　平素は弊社製品をご愛用いただき誠にありがとうございます。
弊社ホームページで情報公開しました"GNU Bashにおける
OSコマンドインジェクションの脆弱性"につきましてバッファローでは
TeraStation・LinkStationへの影響を調査しております。
「WEBサーバ機能をインターネットに公開する設定」をされているお客様は
本脆弱性の影響を受ける可能性がございます。調査が完了するまで
WEBサーバー機能を停止いただくか、インターネットへの公開を
停止してください。
調査完了次第、調査結果をメールで連絡させていただきます。
(2014年10月24日調査完了予定）

「WEBサーバ機能をインターネットに公開する設定」とは、

これの事でしょう。これでWebサーバ機能を「使用する」設定にしていて、かつWebホームページでCGIを使用しており、かつCGIの処理の延長でbashを呼び出している場合は、Shellshock脆弱性の影響を受ける事になると思われます。したがって、ユーザの使い方次第で影響を受ける事がある所まで判明しているわけですよね。
　それにしても、調査完了予定が10月24日ってのは遅過ぎでは？ここまで判明しているのなら、bashのパッチだけでも先出しすべきじゃないかなぁ。

内ト / Oct 5th, 2014 16:19 / [ 編集 ] [ コメントする ] [ TrackBack(0) ]