Menu

ニュース

bash脆弱性(CVE-2014-6271・CVE-2014-7169)に関するお知らせ

2014.10.01

最近発表されたbashの脆弱性CVE-2014-6271およびCVE-2014-7169について、弊社製品・サービスに関しての影響の有無やその詳細をご連絡をさせて頂きます。

まずは影響の有無に関してですが、弊社製品およびサービスに関しまして、bashによるコード実行の問題の「影響を受けません」。ただし、製品に含まれる運用・メンテナンス用のツールでは、一部にbashを直接的もしくは間接的に使用している個所が存在し、設定によっては脆弱性の影響を受ける可能性があるため、設定確認を行うことを推奨いたします。

以下のその詳細をご説明いたします。

弊社製品について

弊社の製品本体(Apacheモジュール・Javaアーカイブ)では、bashを直接的・間接的に利用している個所は存在しません。
ただし、以下の製品では、端末情報更新ツールにCGIを使用しており、外部コマンド実行処理が含まれています。標準のインストール手順に従った場合は、第3者からのアクセスが拒否されるように構成されますが、念のため設定の確認をお願いします。

【ラウンドアバウト/ラウンドアバウトビヨンド】

端末情報更新スクリプト(terminfo-save.cgi)
※PULL型端末情報配信を使用している場合は、影響を受けません。

設定の再確認方法について

【ラウンドアバウト/ラウンドアバウトビヨンド】

端末情報更新CGI(/cgi-bin/terminfo-save.cgi)へのアクセスが弊社端末情報配信サーバーのIPアドレスのみに制限されているかどうかをApache設定ファイルで確認します。標準のインストール手順については、「端末情報クライアント設定手順書」の「3-2 CGIの有効化」節をご参照ください。

弊社サービスについて

弊社以下サービスでは一部にbash・CGIを使用している個所がありますが、今回の脆弱性の影響を受けることはなく、また既にbashのバージョンアップを済ませています。

・ラウンドアバウトクラウド
・ジーンコードクラウド
・minomobile
・ラウンドアバウト端末情報配信サービス
・ドリアン端末情報更新サービス
・ジーンコード評価環境
・弊社HP

bashのバージョンアップによる影響について

bashのバージョンアップを実施したことによる製品への影響はありません。

Our Products

GeneCode

PCサイトをスマートフォンなど他の端末用サイトに構造変換する新製品

roundabout

スマートフォンサイトを基準に考え、携帯ユーザーにも対応できるソリューション

anatomy

Webサイトの解析結果をグラフィカルに表示し、サイト改善に役立つツール