Debian セキュリティ勧告

DSA-3035-1 bash -- セキュリティ更新

報告日時:
2014-09-25
影響を受けるパッケージ:
bash
危険性:
あり
参考セキュリティデータベース:
Debian バグ追跡システム: バグ 762760, バグ 762761.
Mitre の CVE 辞書: CVE-2014-7169.
詳細:

Tavis Ormandy さんが、DSA-3032-1 で発表された GNU Bourne-Again Shell bash の CVE-2014-6271 に対する修正のために適用されたパッチが不完全で、 別の環境で一部の文字を差し込めることを発見しています (CVE-2014-7169)。 この更新では強化策として、 環境変数名にシェル関数名が含まれる場合に名前の前後に文字が追加されるようになっています。

追加で、この問題に対する Red Hat の内部分析で明らかとなり、それとは別に Todd Sabin さんからも報告された、bash パーサでの範囲外配列へのアクセスが2件修正されています。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 4.2+dfsg-0.1+deb7u3 で修正されています。

直ちに bash パッケージをアップグレードすることを勧めます。