Que patches Debian corrigem o shellshock lcamtuf CVE-2014-6277 e o CVE-2014-6278? [fechadas]

Question

Que patches Debian corrigem o shellshock lcamtuf CVE-2014-6277 e o CVE-2014-6278? [fechadas]

#1 resposta do (2 votos)

1

Note que esta questão definitivamente não é uma duplicata de: Quando foi o shellshock (CVE-2014 -6271/7169) bug introduzido, e qual é o patch que o corrige completamente?

De acordo com:

link

CVE-2014-6277 é corrigido no wheezy (segurança) pelo pacote bash: 4.2 + dfsg-0.1 + deb7u3

No entanto, se eu executar um bash shell script para testar seis exploits shellshock diferentes no meu sistema Debian que possui essa versão do Bash 4.2 + dfsg-0.1 + deb7u3 , recebo esta saída:

Testing /bin/bash ...
GNU bash, version 4.2.37(1)-release (x86_64-pc-linux-gnu)

Not vulnerable to CVE-2014-6271 (original shellshock)
Not vulnerable to CVE-2014-7169 (taviso bug)
Not vulnerable to CVE-2014-7186 (redir_stack bug)
Test for CVE-2014-7187 not reliable without address sanitizer
Vulnerable to CVE-2014-6277 (lcamtuf bug #1) [no patch]
Vulnerable to CVE-2014-6278 (lcamtuf bug #2) [prefix/()-suffix]
Variable function parser inactive, likely safe from unknown parser bugs

O shell script está aqui (corra por sua conta e risco, mas parece legítimo):

link

E as pessoas no IRC também relataram outros scripts relatando vulnerabilidades não relacionadas a shellshock ...

Existem duas possibilidades aqui: ou o script erroneamente reporta 6277 e 6278 como ainda vulnerável ou link está errado (no momento em que escrevo isso).

Qual é?

Qual patch do Debian corrige o 6277 e o 6278?

bash security debian shellshock

por Cedric Martin 02.10.2014 / 04:14

1 resposta

Tags bash security debian shellshock

Tela de login não aparece após a atualização do Debian Wheezy para Jessie Inicializando o Debian ISO

score 2 · Answer 1

O Debian aplicou vários patches no bash version no wheezy (-security), o que também impede que o CVE-2014-6277 e o CVE-2014-6278 sejam exploráveis.

Veja link como interpretar seu resultado.

Minha saída do script bashcheck (provavelmente atualizado) no Debian é:

Testing /bin/bash ...
GNU bash, Version 4.2.37(1)-release (x86_64-pc-linux-gnu)

Variable function parser pre/suffixed [(), redhat], bugs not explitable
Not vulnerable to CVE-2014-6271 (original shellshock)
Not vulnerable to CVE-2014-7169 (taviso bug)
Not vulnerable to CVE-2014-7186 (redir_stack bug)
Test for CVE-2014-7187 not reliable without address sanitizer
Found non-exploitable CVE-2014-6277 (lcamtuf bug #1)
Found non-exploitable CVE-2014-6278 (lcamtuf bug #2)

O changelog (abreviado) das liberações de segurança deb7u3 é

bash (4.2+dfsg-0.1+deb7u3) wheezy-security; urgency=high

  * Add variables-affix.patch patch.
    Apply patch from Florian Weimer to add prefix and suffix for environment
    variable names which contain shell functions.
  * Add parser-oob.patch patch.
    Fixes two out-of-bound array accesses in the bash parser.

bash (4.2+dfsg-0.1+deb7u2) wheezy-security; urgency=high

  * Add CVE-2014-7169.diff diff.
    CVE-2014-7169: Incomplete fix for CVE-2014-6271. (Closes: #762760, #762761)

bash (4.2+dfsg-0.1+deb7u1) wheezy-security; urgency=high

  * Apply patch from Chet Ramey to fix CVE-2014-6271.