GLSA 201409-09: Bash: Code Injection

http://security.gentoo.org/

Опасность:	высокая
Заголовок:	Bash: Code Injection
Дата:	24.09.2014
Ошибки:	#523592
ID:	201409-09

Сводка

A parsing flaw related to functions and environments in Bash could allow attackers to inject code.

Назначение

Bash is the standard GNU Bourne Again SHell.

Уязвимые пакеты

Пакет	Уязвимый	Нетронутый	Архитектура(ы)
app-shells/bash	< 4.2_p48	>= 3.1_p18	All supported architectures

Описание

Stephane Chazelas reported that Bash incorrectly handles function definitions, allowing attackers to inject arbitrary code.

Воздействие

A remote attacker could exploit this vulnerability to execute arbitrary commands even in restricted environments.

Обход

There is no known workaround at this time.

Решение

All Bash 3.1 users should upgrade to the latest version:

      # emerge --sync
      # emerge --ask --oneshot --verbose ">=app-shells/bash-3.1_p18:3.1"

All Bash 3.2 users should upgrade to the latest version:


      # emerge --sync
      # emerge --ask --oneshot --verbose ">=app-shells/bash-3.2_p52:3.2"

All Bash 4.0 users should upgrade to the latest version:


      # emerge --sync
      # emerge --ask --oneshot --verbose ">=app-shells/bash-4.0_p39:4.0"

All Bash 4.1 users should upgrade to the latest version:


      # emerge --sync
      # emerge --ask --oneshot --verbose ">=app-shells/bash-4.1_p12:4.1"

All Bash 4.2 users should upgrade to the latest version:


      # emerge --sync
      # emerge --ask --oneshot --verbose ">=app-shells/bash-4.2_p48"

Ссылки

CVE-2014-6271

Наличие

Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security: http://security.gentoo.org/glsa/glsa-201409-09.xml

Опасения?

Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.