cygwin에서 이 취약점에 대한 수정 사항을 적용하는 방법을 알고 싶습니다.
CYGWIN_NT-6.1 MYHOSTNAME 1.7.30(0.272/5/3) 2014-05-23 10:36 x86_64 Cygwin저는 Windows 7에서 cygwin을 실행하고 있습니다.
#bash -version
GNU bash, version 4.1.11(2)-release (x86_64-unknown-cygwin)
Copyright (C) 2009 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>
$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test
apt-cyg를 시도했지만 아무것도 업데이트하지 않았습니다.
$ apt-cyg update bash
apt-cyg update bash
Working directory is /setup
Mirror is http://mirrors.kernel.org/sourceware/cygwin
--2014-09-25 09:24:14-- http://mirrors.kernel.org/sourceware/cygwin/x86_64/setup.bz2
Resolving mirrors.kernel.org (mirrors.kernel.org)... 149.20.4.71, 149.20.20.135, 2001:4f8:1:10:0:1994:3:14, ...
Connecting to mirrors.kernel.org (mirrors.kernel.org)|149.20.4.71|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 431820 (422K) [application/x-bzip2]
Saving to: ‘setup.bz2’
100% [======================================================================================>] 431,820 898KB/s in 0.5s
2014-09-25 09:24:14 (898 KB/s) - ‘setup.bz2’ saved [431820/431820]
Updated setup.ini
setup-x86_64.exe셸 아래에 표시된 대로 마법사를 통해 bash를 실행하고 다시 설치하여 다시 설치하려고 하면 모든 것이 다운로드되기 시작하는 것 같습니다. 업데이트가 빨라야 하는데 15분 넘게 다운로드가 시작되다가 취소되었습니다. 웹사이트와 기타 포럼을 확인했지만 https://cygwin.com지금까지 이 취약점에 대한 구체적인 업데이트는 없었습니다.
답변1
공식 소개에 따르면Cygwin 설치 페이지:
64비트 버전의 Windows용 Cygwin 설치 및 업데이트
64비트 Windows용 Cygwin 패키지를 업데이트하거나 설치하려면 setup-x86_64.exe를 실행하세요. setup-x86_64.exe의 서명을 사용하면 이 공개 키를 사용하여 이 바이너리의 유효성을 확인할 수 있습니다.
저는 이 bash가 영향을 받을 것이라고 예감했기 때문에 귀하가 질문을 게시하기 약 15분 전에 설정 페이지의 지침을 따랐습니다.
타사 스크립트가 필요하지 않습니다. C:\Cygwin64\Downloads 설정 유틸리티가 현재 설치된 패키지를 검색할 때 다운로드 디렉터리를 정리하지 않고 기본값으로 두었 기 때문에 프로세스가 달랐다고 생각합니다 . 따라서 기본 시스템의 모든 패키지가 업데이트되었습니다. 그 중 하나는 CVE-2014-6271의 영향을 받는 bash입니다. 다음 스크린샷에서 보호받고 있다는 증거를 확인할 수 있습니다.
이번 업데이트로 발견된 다른 취약점이 예방되는지는 알 수 없으므로, 이 문제가 완전히 수정될 때까지 며칠 동안 위의 과정을 따라주시기 바랍니다.
답변2
이것은 cygwin bash용 shellshock 패치 버전처럼 보입니다(다른 버그 변형/패치에 따라 다름).
날짜: 2014년 9월 29일 월요일 15:22:43 -0600
https://cygwin.com/ml/cygwin-announce/2014-09/msg00040.html
4.1.14-7이라고도 함
"이것은 CVE-2014-7169 및 기타 모든 ShellShock 익스플로잇을 수정하기 위해 업스트림 패치를 적용하는 소규모 재구축입니다(4.1.13-6도 안전하지만 수정하는 약간 다른 다운스트림 패치를 사용합니다. 여전히 알려진 파서 충돌(예: CVE-2014-7186, CVE-2014-7187 및 CVE-2014-6277), 패치가 곧 업스트림에서 릴리스될 수 있지만 이러한 문제는 로컬 충돌을 유발할 수 있지만 패치가 적용되지 않은 경우 이를 통해 권한을 상승시키는 데 악용될 수 없습니다. 임의의 변수 콘텐츠가 있지만 bash는 취약합니다. 악용 버전은 조작된 환경 변수를 통해 임의 코드 실행을 허용하고 많은 원격 서비스를 통해 악용될 수 있으므로 업그레이드하는 것이 좋습니다..."
또한 setup-x86_64.exe를 통해 최신 버전의 bash를 얻으려면 cygwin 다운로드 디렉토리를 삭제해야 했습니다. :( 따라서 "bash --version"을 사용하여 패치 수준을 확인하세요.
하지만 우리는 아직 숲에서 나오지 않았을 수도 있습니다…
인용하다:http://www.zdnet.com/the-shellshock-faq-heres-what-you-need-to-know-7000034219/
"CVE-2014-6277 및 CVE-2014-6278: 보안 연구원들이 두 가지 버그를 더 발견했습니다. 이 두 가지 버그는 원래 Bash 버그와 유사하게 임의 명령 주입 가능성이 있는 것으로 추정됩니다. 그러나 세부 사항은 아직 만들어지지 않았습니다. 공개이므로 적절한 패치를 만드십시오."
CVE-2014-6277
원본 출판일: 2014년 9월 27일
CVE-2014-6278
원본 출판일: 2014년 9월 30일
한숨을 쉬다. 당분간은 BASH를 계속 주시하면서 패치를 진행해야 할 것 같습니다. 그러나 cygwin(및 이후 버전)의 bash 4.1.14-7을 사용하는 것이 더 나을 수도 있습니다.
도움이 되길 바랍니다.