Как применить исправление для уязвимости bash CVE-2014-6271 на cygwin?

8

Я хотел бы узнать, как применить исправление для этой уязвимости в Cygwin.

Я использую CYGWIN_NT-6.1 MYHOSTNAME 1.7.30(0.272/5/3) 2014-05-23 10:36 x86_64 CygwinCygwin на Windows 7.

 #bash -version
 GNU bash, version 4.1.11(2)-release (x86_64-unknown-cygwin)
 Copyright (C) 2009 Free Software Foundation, Inc.
 License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>


 $ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
 env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
 vulnerable
 this is a test

Я попробовал apt-cyg, но он ничего не обновил:

    $ apt-cyg update bash
    apt-cyg update bash
    Working directory is /setup
    Mirror is http://mirrors.kernel.org/sourceware/cygwin
    --2014-09-25 09:24:14--          http://mirrors.kernel.org/sourceware/cygwin/x86_64/setup.bz2
    Resolving mirrors.kernel.org (mirrors.kernel.org)... 149.20.4.71, 149.20.20.135,         2001:4f8:1:10:0:1994:3:14, ...
    Connecting to mirrors.kernel.org (mirrors.kernel.org)|149.20.4.71|:80...         connected.
    HTTP request sent, awaiting response... 200 OK
    Length: 431820 (422K) [application/x-bzip2]
    Saving to: setup.bz2

    100%        [======================================================================================>]         431,820      898KB/s   in 0.5s

    2014-09-25 09:24:14 (898 KB/s) - setup.bz2 saved [431820/431820]

      Updated setup.ini

при попытке переустановить, запустив setup-x86_64.exeи пройдя через мастер переустановки bash, который отображается под оболочкой, похоже, начать загрузку всего. Это должно быть очень быстрое обновление, но оно начинает загружаться более 15 минут, после чего я отменил его. Я осмотрел https://cygwin.comсайт и другой форум, но пока никаких конкретных обновлений для этой уязвимости не было.

Раза
источник
1
Запустите setup-arch.exe, как в первый раз, когда вы его установили. Я сделал это ранее сегодня. Смотрите эту страницу Cygwin
eyoung100
@ eyoung100 У тебя сработало? Как вы заметили, я сделал это, и кажется, что он загружал все и занимал это очень долго. Хотя в мастере я выбрал только bash. Я хотел бы убедиться перед тем, как все перезаписать
Raza
Это работает, я могу опубликовать скриншот для доказательства, но обновление должно дать вам версию 4.1.11 (5) - выпуск x86_64-unknown-cygwin
eyoung100
Ваше слово достаточно хорошо :). Я позволю ему работать часами, чтобы обновить это.
Раза
1
Затем при повторном запуске программы установки вы просто повторно загрузите более новые версии всего, что вы удалили. Пока вы не удалите свой виртуальный домашний каталог и т. Д., Все будет в порядке. Т.е. просто удалить C:\Cygwin64\Downloads` but not C: \ Cygwin64`
eyoung100

Ответы:

6

Согласно официальной странице установки Cygwin :

Установка и обновление Cygwin для 64-разрядных версий Windows

Запустите setup-x86_64.exe каждый раз, когда вы хотите обновить или установить пакет Cygwin для 64-битных окон. Подпись для setup-x86_64.exe может быть использована для проверки действительности этого двоичного файла с использованием этого открытого ключа.

У меня была догадка, на которую повлиял этот bash, поэтому примерно за 15 минут до того, как вы опубликовали свой вопрос, я сделал, как было указано на странице настройки.


Нет необходимости в стороннем скрипте. Я считаю, что для меня процесс пошёл иначе, потому что я не очистил свой каталог загрузки в C:\Cygwin64\Downloads утилите установки. Сканировал мои установленные на данный момент пакеты и оставил значения по умолчанию в покое. Таким образом, все пакеты в базовой системе были обновлены. Одним из них оказался bash, на который повлиял CVE-2014-6271. Вы можете увидеть доказательство того, что вы защищены следующим снимком экрана:

Обновленный Bash - Cygwin

Обратите внимание, что я не знаю, защищает ли это обновление другие обнаруженные уязвимости, поэтому следуйте вышеописанной процедуре в течение следующих нескольких дней, пока эта проблема не будет полностью устранена.

eyoung100
источник
2

Это похоже на версию, которая исправила патрон снаряда (в зависимости от других ошибок / исправлений) для cygwin bash:

Дата: пн, 29 сен 2014 15:22:43 -0600

https://cygwin.com/ml/cygwin-announce/2014-09/msg00040.html

АКА: 4.1.14-7

«Это небольшая перестройка, которая собирает вышестоящее исправление для исправления CVE-2014-7169 и всех других атак ShellShock (4.1.13-6 также было безопасным, но использовало немного другое нисходящее исправление, которое использовало вместо ()« () » %% 'в переменных окружения, и который был чрезмерно ограничивающим при импорте функций, чье имя не было идентификатором. До сих пор известны сбой анализатора (например, CVE-2014-7186, CVE-2014-7187 и CVE-2014-6277 ) где апстрим, вероятно, скоро выпустит патчи, но хотя эти проблемы могут вызвать локальный сбой, они не могут быть использованы для повышения привилегий через содержимое произвольной переменной в этой сборке. Оставленная не исправленной уязвимая версия bash может позволить выполнение произвольного кода через специально созданные переменные среды, и может быть использован через ряд удаленных служб,поэтому настоятельно рекомендуется обновить ... »

Мне также пришлось удалить каталог загрузки cygwin, прежде чем я смог получить более новую версию bash с помощью setup-x86_64.exe. :( Так что проверьте «bash --version», чтобы подтвердить свой уровень патча.

Тем не менее, мы еще не вышли из леса ...

REF: http://www.zdnet.com/the-shellshock-faq-heres-what-you-need-to-know-7000034219/

«CVE-2014-6277 и CVE-2014-6278: исследователи в области безопасности обнаружили две дополнительные ошибки. Предполагается, что эти две ошибки могут иметь произвольную инъекцию команд, аналогично исходной ошибке Bash. Однако подробности пока не разглашаются, чтобы можно было создавать соответствующие патчи. "

CVE-2014-6277

Дата выхода оригинала: 27.09.2014

CVE-2014-6278

Дата выхода оригинала: 30.09.2014

Вздох. Похоже, нам нужно внимательно следить и исправлять BASH дольше. Однако вы, вероятно, намного лучше в (и после) Bash 4.1.14-7 под Cygwin.

Надеюсь, это поможет.

black123
источник