GNU Bash 脆弱性について

最近、重大なセキュリティの脆弱性がソフトウェア・シェルのGNU Bash で発見されました。
「Shellshock」として知られている脆弱性は、攻撃ベクトルとしてBash(およびBash と呼ばれるプログラム) を使用して
リモートからアクセスしシステムを制御します。
このバグはGNU/Linux ユーザだけではなく Mac OSX やWindowsのような独自OS上で使用されるBashにも影響を及ぼします。

この脆弱性の影響のある多くのソフトウェア・ベンダーはすでにパッチを提供しています。
PaperCut自体にはGNU bashはバンドルされていません。
しかし弊社では影響があるかもしれないすべてのBashユーザに、使用するサービスを検証することを推奨しています。
この問題の詳細は次のページを参照してください:

・ CVE-2014-6271: https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271
・ CVE-2014-7169: https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7169

 
PaperCut は脆弱化?

PaperCut の開発プロセスでは継続的にセキュリティに焦点を当てています。
そのため、弊社は、PaperCutにはShellshock脆弱性による影響はないと考えています。
PaperCutがホストするシステム(サーバ)が脆弱になる可能性はありますが、PaperCut自体が脆弱になるとは考えておりません。

PaperCutの大半はJVMのJavaコードで実行されています。
PaperCut が他のプロセスを実行しているポイントはありますが、呼び出されたコードはハード・コーディングされており、
外部ソースは実行前に環境変数を設定する方法がありません。
これはPaperCut がこの攻撃に対して脆弱ではないことを意味します。




http://www.papercut.com/kb/Main/GNUBashVulnerability