GLSA 201410-01: Bash: Multiple vulnerabilities

Опасность:высокая
Заголовок:Bash: Multiple vulnerabilities
Дата:04.10.2014
Ошибки: #523742, #524256
ID:201410-01

Сводка

Multiple parsing flaws in Bash could allow remote attackers to inject code or cause a Denial of Service condition.

Назначение

Bash is the standard GNU Bourne Again SHell.

Уязвимые пакеты

Пакет Уязвимый Нетронутый Архитектура(ы)
app-shells/bash < 4.2_p52 >= 3.1_p22 All supported architectures

Описание

Florian Weimer, Todd Sabin, Michal Zalewski et al. discovered further parsing flaws in Bash. The unaffected Gentoo packages listed in this GLSA contain the official patches to fix the issues tracked as CVE-2014-6277, CVE-2014-7186, and CVE-2014-7187. Furthermore, the official patch known as “function prefix patch” is included which prevents the exploitation of CVE-2014-6278.

Воздействие

A remote attacker could exploit these vulnerabilities to execute arbitrary commands or cause a Denial of Service condition via various vectors.

Обход

There is no known workaround at this time.

Решение

All Bash 3.1 users should upgrade to the latest version:

      # emerge --sync
      # emerge --ask --oneshot --verbose ">=app-shells/bash-3.1_p22:3.1"
    

All Bash 3.2 users should upgrade to the latest version:

# emerge --sync # emerge --ask --oneshot --verbose ">=app-shells/bash-3.2_p56:3.2"

All Bash 4.0 users should upgrade to the latest version:

# emerge --sync # emerge --ask --oneshot --verbose ">=app-shells/bash-4.0_p43:4.0"

All Bash 4.1 users should upgrade to the latest version:

# emerge --sync # emerge --ask --oneshot --verbose ">=app-shells/bash-4.1_p16:4.1"

All Bash 4.2 users should upgrade to the latest version:

# emerge --sync # emerge --ask --oneshot --verbose ">=app-shells/bash-4.2_p52"

Ссылки

Наличие

Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security: http://security.gentoo.org/glsa/glsa-201410-01.xml

Опасения?

Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.

Лицензия

Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.

Спасибо!