Säkerhetsinformation / 2014 / Säkerhetsinformation -- DSA-3035-1 bash

Säkerhetsbulletin från Debian

DSA-3035-1 bash -- säkerhetsuppdatering

Rapporterat den:

2014-09-25

Berörda paket:

bash

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 762760, Fel 762761.
I Mitres CVE-förteckning: CVE-2014-7169.

Ytterligare information:

Tavis Ormandy upptäckte att patchen som släpptes för att rätta CVE-2014-6271, släppt i DSA-3032-1 för bash, GNU Bourne-Again Shell, inte var komplett och fortfarande kunde tillåta några tecken att injiceras i en annan miljö (CVE-2014-7169). Med denna uppdatering läggs prefix och suffix till miljövariabelnamn som innehåller skalfunktioner som en härdande åtgärd.

Utöver detta rättas två arrayåtkomster utanför gränser i bashtolken som avslöjades i Red Hats interna analys för sådana problem och även oberoende rapporterades av Todd Sabin.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 4.2+dfsg-0.1+deb7u3.

Vi rekommenderar att ni uppgraderar era bash-paket.