Информация по безопасности / 2014 / Информация о безопасности -- DSA-3035-1 bash

Рекомендация Debian по безопасности

DSA-3035-1 bash -- обновление безопасности

Дата сообщения:

25.09.2014

Затронутые пакеты:

bash

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 762760, Ошибка 762761.
В каталоге Mitre CVE: CVE-2014-7169.

Более подробная информация:

Тэвис Орманди обнаружил, что заплата для bash, GNU Bourne-Again Shell, использованная для исправления CVE-2014-6271, выпущенная в DSA-3032-1, была неполной, некоторые символы всё ещё могут быть введены в другое окружение (CVE-2014-7169). Данное обновление добавляет к переменным окружения, содержащим функции командной оболочки, префиксы и суффиксы для улучшения безопасности.

Кроме того, в коде грамматического разбора были исправлены два возможных выхода за пределы массива при чтении, которые были выявлены при внутреннем анализе, проведённом силами Red Hat, а также независимо опубликованы Тоддом Сэбайном.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 4.2+dfsg-0.1+deb7u3.

Рекомендуется обновить пакеты bash.