GLSA 201410-01: Bash: Multiple vulnerabilities
| Опасность: | высокая |
| Заголовок: | Bash: Multiple vulnerabilities |
| Дата: | 04.10.2014 |
| Ошибки: | , |
| ID: | 201410-01 |
Сводка
Multiple parsing flaws in Bash could allow remote attackers to inject code or cause a Denial of Service condition.Назначение
Bash is the standard GNU Bourne Again SHell.
Уязвимые пакеты
| Пакет | Уязвимый | Нетронутый | Архитектура(ы) |
|---|---|---|---|
| app-shells/bash | < 4.2_p52 | >= 3.1_p22 | All supported architectures |
Описание
Florian Weimer, Todd Sabin, Michal Zalewski et al. discovered further parsing flaws in Bash. The unaffected Gentoo packages listed in this GLSA contain the official patches to fix the issues tracked as CVE-2014-6277, CVE-2014-7186, and CVE-2014-7187. Furthermore, the official patch known as “function prefix patch” is included which prevents the exploitation of CVE-2014-6278.
Воздействие
A remote attacker could exploit these vulnerabilities to execute arbitrary commands or cause a Denial of Service condition via various vectors.
Обход
There is no known workaround at this time.
Решение
All Bash 3.1 users should upgrade to the latest version:
# emerge --sync
# emerge --ask --oneshot --verbose ">=app-shells/bash-3.1_p22:3.1"
All Bash 3.2 users should upgrade to the latest version:
# emerge --sync
# emerge --ask --oneshot --verbose ">=app-shells/bash-3.2_p56:3.2"
All Bash 4.0 users should upgrade to the latest version:
# emerge --sync
# emerge --ask --oneshot --verbose ">=app-shells/bash-4.0_p43:4.0"
All Bash 4.1 users should upgrade to the latest version:
# emerge --sync
# emerge --ask --oneshot --verbose ">=app-shells/bash-4.1_p16:4.1"
All Bash 4.2 users should upgrade to the latest version:
# emerge --sync
# emerge --ask --oneshot --verbose ">=app-shells/bash-4.2_p52"
Ссылки
Наличие
Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security:
Опасения?
Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.
Лицензия
Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.