Bash シェルの主要な断層

更新 2014年-09-26 12:30 UTC + 1

の CVE-2014年-7169 障害は、ほとんどのパッケージのメンテナがパッチを適用するようです。あなたの bash の更新を再実行することを勧めます

。 < hr/>< br/>

更新 2014年-09-25 18:00 UTC + 1

CVE-2014年-6271 脆弱性に対するパッチの問題が完全に解決しません。しかし、それは重要性を低減します。パッチがすぐに着くべきである参照 CVE-2014年-7169 下に開かれた新たな亀裂 < br/>。 このアドインでは、保留中この redhat の記事 でこれらの回避策のいずれかを適用することの可能性がある

CVE-2014年-6271 脆弱性に対するパッチを適用すると、次のコードで CVE-2014年-7169 断層を確認できます:

約 X =' () {(a) => \' bash の - c-「エコー エコー vuln」;}[「$(猫エコー)」「vuln」を = =]]"まだ傷つきやすい「エコー ・ < br/>

あなたが戻って、常に脆弱性が存在する場合

bash: x: 行 1: 予期しないトークンの近くに構文エラー '='
バッシュ: x: 行 1:"
バッシュ: 'X' の関数定義をインポート中にエラー
まだ傷つきやすい
< hr/> < br/>

Bash シェル上の主要な脆弱性を発見されているだけ。[コード CVE-2014年-6271 断層を参照します

それが存在はいつからですか?

この脆弱性から存在しており少なくともバージョン 1.14 bash の。したがって、非常に広範囲です

-ことができますそれは何ですか?

この脆弱性を悪用時に、シェルを bash という事実 それが無いはないそれはあるときは変数の定義または環境の機能必要があります解釈を停止し、実行 注文の引数に格納されます

されて我々 はシェルを起動することができます事実を考えると cgi スクリプトを bash はたとえば、リモートでこの脆弱性を悪用することができます。 Cgi 環境変数にマップされるという事実を使用してください。 シェル環境変数。コマンドの起動がリモートで実行されて、確かに web のコンテキストでサーバーを実行しています。 例えば

この脆弱性の悪用のスクリプトは簡単に取得できるとスキャナー、仕事ですでにこの脆弱性を特定します

私のバージョンが影響を受けるかどうかを確認する方法ですか?

次のコマンドを使用してこのエラーをテストする可能性があります

約 x =' () {:;}; 脆弱性エコー ' bash-c「エコーこれはテストです」 < br/>

Bash のバージョンが影響を受ける場合、次のようが表示されます戻る:

脆弱性
 これはテストです
それ以外の場合。
 バッシュ: 警告: 関数定義の試みを無視して x:
 バッシュ: 'x' の関数定義をインポート中にエラー
 これはテストです

どのように修正するのですか?

Ikoula bash パッケージを更新することをお勧めします、 配布可能な限り迅速に < br/> 6、いわゆる、debian スクイズがあれば 私たちの知識ベースの記事 に従うこと勧めます。 < br/> 共有の利点があるか完全なアウトソーシングは私たちのチームは既に必要されていること知っている

詳細については https://securityblog.redhat.com/


Ajouter un commentaire