Я хотел бы узнать, как применить исправление для этой уязвимости в Cygwin.
Я использую CYGWIN_NT-6.1 MYHOSTNAME 1.7.30(0.272/5/3) 2014-05-23 10:36 x86_64 CygwinCygwin на Windows 7.
#bash -version
GNU bash, version 4.1.11(2)-release (x86_64-unknown-cygwin)
Copyright (C) 2009 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>
$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test
Я попробовал apt-cyg, но он ничего не обновил:
$ apt-cyg update bash
apt-cyg update bash
Working directory is /setup
Mirror is http://mirrors.kernel.org/sourceware/cygwin
--2014-09-25 09:24:14-- http://mirrors.kernel.org/sourceware/cygwin/x86_64/setup.bz2
Resolving mirrors.kernel.org (mirrors.kernel.org)... 149.20.4.71, 149.20.20.135, 2001:4f8:1:10:0:1994:3:14, ...
Connecting to mirrors.kernel.org (mirrors.kernel.org)|149.20.4.71|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 431820 (422K) [application/x-bzip2]
Saving to: ‘setup.bz2’
100% [======================================================================================>] 431,820 898KB/s in 0.5s
2014-09-25 09:24:14 (898 KB/s) - ‘setup.bz2’ saved [431820/431820]
Updated setup.ini
при попытке переустановить, запустив setup-x86_64.exeи пройдя через мастер переустановки bash, который отображается под оболочкой, похоже, начать загрузку всего. Это должно быть очень быстрое обновление, но оно начинает загружаться более 15 минут, после чего я отменил его. Я осмотрел https://cygwin.comсайт и другой форум, но пока никаких конкретных обновлений для этой уязвимости не было.
bash
security
cygwin
shellshock
Раза
источник
источник
C:\Cygwin64\Downloads` but notC: \ Cygwin64`Ответы:
Согласно официальной странице установки Cygwin :
У меня была догадка, на которую повлиял этот bash, поэтому примерно за 15 минут до того, как вы опубликовали свой вопрос, я сделал, как было указано на странице настройки.
Нет необходимости в стороннем скрипте. Я считаю, что для меня процесс пошёл иначе, потому что я не очистил свой каталог загрузки в
C:\Cygwin64\Downloadsутилите установки. Сканировал мои установленные на данный момент пакеты и оставил значения по умолчанию в покое. Таким образом, все пакеты в базовой системе были обновлены. Одним из них оказался bash, на который повлиял CVE-2014-6271. Вы можете увидеть доказательство того, что вы защищены следующим снимком экрана:Обратите внимание, что я не знаю, защищает ли это обновление другие обнаруженные уязвимости, поэтому следуйте вышеописанной процедуре в течение следующих нескольких дней, пока эта проблема не будет полностью устранена.
источник
Это похоже на версию, которая исправила патрон снаряда (в зависимости от других ошибок / исправлений) для cygwin bash:
Дата: пн, 29 сен 2014 15:22:43 -0600
https://cygwin.com/ml/cygwin-announce/2014-09/msg00040.html
АКА: 4.1.14-7
«Это небольшая перестройка, которая собирает вышестоящее исправление для исправления CVE-2014-7169 и всех других атак ShellShock (4.1.13-6 также было безопасным, но использовало немного другое нисходящее исправление, которое использовало вместо ()« () » %% 'в переменных окружения, и который был чрезмерно ограничивающим при импорте функций, чье имя не было идентификатором. До сих пор известны сбой анализатора (например, CVE-2014-7186, CVE-2014-7187 и CVE-2014-6277 ) где апстрим, вероятно, скоро выпустит патчи, но хотя эти проблемы могут вызвать локальный сбой, они не могут быть использованы для повышения привилегий через содержимое произвольной переменной в этой сборке. Оставленная не исправленной уязвимая версия bash может позволить выполнение произвольного кода через специально созданные переменные среды, и может быть использован через ряд удаленных служб,поэтому настоятельно рекомендуется обновить ... »
Мне также пришлось удалить каталог загрузки cygwin, прежде чем я смог получить более новую версию bash с помощью setup-x86_64.exe. :( Так что проверьте «bash --version», чтобы подтвердить свой уровень патча.
Тем не менее, мы еще не вышли из леса ...
REF: http://www.zdnet.com/the-shellshock-faq-heres-what-you-need-to-know-7000034219/
«CVE-2014-6277 и CVE-2014-6278: исследователи в области безопасности обнаружили две дополнительные ошибки. Предполагается, что эти две ошибки могут иметь произвольную инъекцию команд, аналогично исходной ошибке Bash. Однако подробности пока не разглашаются, чтобы можно было создавать соответствующие патчи. "
CVE-2014-6277
Дата выхода оригинала: 27.09.2014
CVE-2014-6278
Дата выхода оригинала: 30.09.2014
Вздох. Похоже, нам нужно внимательно следить и исправлять BASH дольше. Однако вы, вероятно, намного лучше в (и после) Bash 4.1.14-7 под Cygwin.
Надеюсь, это поможет.
источник