Рекомендация Debian по безопасности
DSA-3035-1 bash -- обновление безопасности
- Дата сообщения:
- 25.09.2014
- Затронутые пакеты:
- bash
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В системе отслеживания ошибок Debian: Ошибка 762760, Ошибка 762761.
В каталоге Mitre CVE: CVE-2014-7169. - Более подробная информация:
-
Тэвис Орманди обнаружил, что заплата для bash, GNU Bourne-Again Shell, использованная для исправления CVE-2014-6271, выпущенная в DSA-3032-1, была неполной, некоторые символы всё ещё могут быть введены в другое окружение (CVE-2014-7169). Данное обновление добавляет к переменным окружения, содержащим функции командной оболочки, префиксы и суффиксы для улучшения безопасности.
Кроме того, в коде грамматического разбора были исправлены два возможных выхода за пределы массива при чтении, которые были выявлены при внутреннем анализе, проведённом силами Red Hat, а также независимо опубликованы Тоддом Сэбайном.
В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 4.2+dfsg-0.1+deb7u3.
Рекомендуется обновить пакеты bash.