Рекомендация Debian по безопасности

DLA-63-1 bash -- обновление безопасности LTS

Дата сообщения:
26.09.2014
Затронутые пакеты:
bash
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 762760, Ошибка 762761.
В каталоге Mitre CVE: CVE-2014-7169.
Более подробная информация:

Тэвис Орманди обнаружил, что заплата, использованная для исправления CVE-2014-6271 и выпущенная в DLA-59-1, для bash, GNU Bourne-Again Shell, оказалась неполной, что позволяет вводить некоторые символы в другое окружение (CVE-2014-7169). Данное обновление добавляет к именам переменных окружения, содержащих функции командной оболочки, префиксы и суффиксы с целью защиты этих функций.

Кроме того, было исправлено два случая обращения за пределы выделенного буфера памяти в коде bash для выполнения грамматического разбора, которые были выявлены в ходе внутреннего анализа в Red Hat на предмет наличия таких проблем, а также были независимо обнаружены Тоддом Сабином.

В Debian 6 Squeeze эти проблемы были исправлены в пакете bash версии 4.1-3+deb6u2