Como aplicar a correção para a vulnerabilidade do CVE-2014-6271 bash no cygwin?

8

Gostaria de saber como aplicar a correção para esta vulnerabilidade no cygwin.

Estou executando o CYGWIN_NT-6.1 MYHOSTNAME 1.7.30(0.272/5/3) 2014-05-23 10:36 x86_64 Cygwin do cygwin no Windows 7.

 #bash -version
 GNU bash, version 4.1.11(2)-release (x86_64-unknown-cygwin)
 Copyright (C) 2009 Free Software Foundation, Inc.
 License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>


 $ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
 env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
 vulnerable
 this is a test

Eu tentei o apt-cyg mas ele não atualizou nada:

    $ apt-cyg update bash
    apt-cyg update bash
    Working directory is /setup
    Mirror is http://mirrors.kernel.org/sourceware/cygwin
    --2014-09-25 09:24:14--          http://mirrors.kernel.org/sourceware/cygwin/x86_64/setup.bz2
    Resolving mirrors.kernel.org (mirrors.kernel.org)... 149.20.4.71, 149.20.20.135,         2001:4f8:1:10:0:1994:3:14, ...
    Connecting to mirrors.kernel.org (mirrors.kernel.org)|149.20.4.71|:80...         connected.
    HTTP request sent, awaiting response... 200 OK
    Length: 431820 (422K) [application/x-bzip2]
    Saving to: ‘setup.bz2’

    100%        [======================================================================================>]         431,820      898KB/s   in 0.5s

    2014-09-25 09:24:14 (898 KB/s) - ‘setup.bz2’ saved [431820/431820]

      Updated setup.ini

quando tentar reinstalar executando setup-x86_64.exe e passando pelo bash de reinstalação do assistente que está sendo exibido no shell, parece que você deve iniciar o download de tudo. Deve ser uma atualização muito rápida, mas começar a baixar por mais de 15 minutos, então eu cancelei. Eu olhei em torno de https://cygwin.com site e outro fórum, mas até agora não há nenhuma atualização específica para esta vulnerabilidade.

    
por Raza 25.09.2014 / 18:28

2 respostas

6

De acordo com a Página de instalação do Cygwin oficial:

Installing and Updating Cygwin for 64-bit versions of Windows

Run setup-x86_64.exe any time you want to update or install a Cygwin package for 64-bit windows. The signature for setup-x86_64.exe can be used to verify the validity of this binary using this public key.

Eu tinha um palpite sobre o que este bash foi afetado, então cerca de 15 minutos antes de você postar sua pergunta, eu fiz como a página de configuração instruiu.

Não há necessidade de um script de terceiros. Acredito que o processo foi diferente para mim porque eu não tinha limpado meu Diretório de Download em C:\Cygwin64\Downloads O utilitário de configuração Analisei meus pacotes atualmente instalados e deixei os padrões sozinhos. Como tal, todos os pacotes no sistema base foram atualizados. Um destes aconteceu para ser o bash que é afetado pelo CVE-2014-6271. Você pode ver a prova de que está protegido pela seguinte captura de tela:

Por favor, note que eu não sei se esta atualização protege contra outras vulnerabilidades que foram descobertas, então por favor, siga o procedimento acima nos próximos dias até que este problema seja completamente corrigido.

    
por 25.09.2014 / 23:05
2

Isto se parece com a versão que corrigiu o shellshock (Sujeito a outras variações / correções de bugs) para o cygwin bash:

Data: seg, 29 set 2014 15:22:43 -0600

link

AKA: 4.1.14-7

" Esta é uma pequena reconstrução que pega um patch upstream para corrigir CVE-2014-7169 e todos os outros ataques ShellShock (4.1.13-6 também eram seguros, mas usou um patch downstream ligeiramente diferente que usou '()' em vez de '%%' em variáveis de ambiente, e que era excessivamente restritivo em importando funções cujo nome não era um identificador). Ainda há penetrações de analisador conhecidas (como CVE-2014-7186, CVE-2014-7187 e CVE-2014-6277) onde o upstream provavelmente emitirá correções em breve; mas enquanto esses problemas podem provocar uma falha local, eles não podem ser explorados para escalonamento de privilégio através de conteúdo variável arbitrário por este construir. Deixada sem correção, uma versão vulnerável do bash poderia permitir execução de código arbitrário através de variáveis de ambiente especialmente criadas, e era explorável através de uma série de serviços remotos, por isso é altamente recomendado que você atualize ... "

Eu também tive que remover meu diretório de download do cygwin antes que eu pudesse puxar uma nova versão do bash através do setup-x86_64.exe. :( Verifique com "bash --version" para confirmar seu nível de correção.

No entanto, podemos não estar fora das madeiras ainda ...

REF: link

" CVE-2014-6277 & CVE-2014-6278: Pesquisadores de segurança descobriram dois erros adicionais. Esses dois bugs devem ter o potencial de injeção arbitrária de comando, semelhante ao bug Bash original. No entanto, os detalhes ainda não foram publicados, a fim de permitir que os patches apropriados sejam criados. "

CVE-2014-6277

Data original de lançamento: 27/09/2014

CVE-2014-6278

Data original de lançamento: 30/09/2014

Suspiro. Parece que precisamos manter um bom olho e continuar consertando o BASH por um pouco mais de tempo. No entanto, você é provavelmente muito melhor em (e depois) bash 4.1.14-7 sob cygwin.

Espero que ajude.

    
por 02.10.2014 / 19:47