Does CVE-2014-6271 Bash Code Inject Vulnerability affect Shibboleth SP and/or IdP?

Fri Sep 26 03:13:05 EDT 2014

Gernot Hassenpflug
<gernot.hassenpflug at asahinet.com> writes:

> Hello,
>
> Since 2014-09-24 there is a vulnerability CVE-2014-6271 reported [1]
> regarding vulnerability in Bash shell, for Red Hat and CentOS (versions
> 4 through 7), explained in [3] by example.

/../

> Refs:
>
> [1] http://lists.centos.org/pipermail/centos/2014-September/146099.html
> [2] https://access.redhat.com/solutions/1207723
> [3] https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environment-variables-code-injection-attack/

Followup:

I received a message from the Japanese Shibboleth Federation (Gakunin
Federation) in Japanese, in which it was stated that the bug does not
affect the Shibboleth software directly, but if one is running on an
affected host system, they recommend upgrading the copy of bash on that
system as soon as possible.

Regards,
Gernot Hassenpflug

I include the mail for reference below:

from: 国立情報学研究所　学認事務局　野田 <gakunin-office at nii.ac.jp>
reply-to: gakunin-office at nii.ac.jp
to: upki-fed at nii.ac.jp, idp-contact at nii.ac.jp, sp-contact at nii.ac.jp
cc: gakunin-office at nii.ac.jp
date: 26 September 2014 15:32
subject: [upki-fed:00856] Bashの脆弱性について (CVE-2014-6271, CVE-2014-7169)

各位

　国立情報学研究所・学認事務局です。
平素より学認の事業にご協力を賜り，ありがとうございます。

　Bashに関する脆弱性 CVE-2014-6271, CVE-2014-7169 が公開されました。本脆
弱性では，Bashの環境変数の処理に起因する不具合により，リモートから任意
のコードを実行可能となります。

学認技術ガイドに従って構築したIdP/SP自身がBashを呼び出すことはありませ
んが，同居しているWebアプリケーションや他のCGIスクリプト等を配置してい
る場合に本脆弱性の影響を受ける可能性があります。

すでに修正パッケージがリリースされていますので速やかにアップデートいた
だくことをおすすめいたします。

CentOSでは以下に示すバージョンがCVE-2014-6271, CVE-2014-7169の両方が修
正されたパッケージです。

・CentOS 5
  bash-3.2-33.el5_10.4  およびそれ以降のバージョン

・CentOS 6
  bash-4.1.2-15.el6_5.2 およびそれ以降のバージョン

その他のディストリビューションをご利用の方は，各ディストリビュータの情
報をご参照ください。

参考情報：

・Bash Code Injection Vulnerability via Specially Crafted Environment
  Variables (CVE-2014-6271, CVE-2014-7169)
  https://access.redhat.com/articles/1200223

・CVE-2014-6271 bash: specially-crafted environment variables can be
  used to inject shell commands
  https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2014-6271

・CVE-2014-7169 bash: code execution via specially-crafted environment
  (Incomplete fix for CVE-2014-6271)
  https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2014-7169

・CVE-2014-6271
  http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271

・CVE-2014-7169
  http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7169

--
=========================================================
　国立情報学研究所 学術基盤課 学認事務局　（担当：野田）
　TEL：03-4212-2218　gakunin-office at nii.ac.jp
　学認Webページ  https://www.gakunin.jp/
　申請システム   https://office.gakunin.nii.ac.jp/
=========================================================
-- 
Asahi Net, Inc.
Tokyo, Japan