Рекомендация Debian по безопасности

DSA-3035-1 bash -- обновление безопасности

Дата сообщения:
25.09.2014
Затронутые пакеты:
bash
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 762760, Ошибка 762761.
В каталоге Mitre CVE: CVE-2014-7169.
Более подробная информация:

Тэвис Орманди обнаружил, что заплата для bash, GNU Bourne-Again Shell, использованная для исправления CVE-2014-6271, выпущенная в DSA-3032-1, была неполной, некоторые символы всё ещё могут быть введены в другое окружение (CVE-2014-7169). Данное обновление добавляет к переменным окружения, содержащим функции командной оболочки, префиксы и суффиксы для улучшения безопасности.

Кроме того, в коде грамматического разбора были исправлены два возможных выхода за пределы массива при чтении, которые были выявлены при внутреннем анализе, проведённом силами Red Hat, а также независимо опубликованы Тоддом Сэбайном.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 4.2+dfsg-0.1+deb7u3.

Рекомендуется обновить пакеты bash.