어떤 Debian 패치가 shellshock lcamtuf CVE-2014-6277 및 CVE-2014-6278을 수정합니까? [폐쇄]

tag-icon tag-icon bash debian security shellshock
어떤 Debian 패치가 shellshock lcamtuf CVE-2014-6277 및 CVE-2014-6278을 수정합니까? [폐쇄]

이 문제는 다음과 같습니다.아니요사본:Shellshock(CVE-2014-6271/7169) 버그는 언제 소개되었나요? 이 버그를 완전히 수정한 패치는 무엇인가요?

에 따르면:

https://security-tracker.debian.org/tracker/CVE-2014-6277

CVE-2014-6277은 bash 패키지를 통해 wheezy(보안) 문제가 수정되었습니다.4.2+dfsg-0.1+deb7u3

그러나 이 버전의 Bash를 사용하여 Debian 시스템에서 bash 쉘 스크립트를 실행하여 여섯 가지 다른 shellshock 익스플로잇을 테스트하면4.2+dfsg-0.1+deb7u3, 다음과 같은 출력을 얻습니다.

Testing /bin/bash ...
GNU bash, version 4.2.37(1)-release (x86_64-pc-linux-gnu)

Not vulnerable to CVE-2014-6271 (original shellshock)
Not vulnerable to CVE-2014-7169 (taviso bug)
Not vulnerable to CVE-2014-7186 (redir_stack bug)
Test for CVE-2014-7187 not reliable without address sanitizer
Vulnerable to CVE-2014-6277 (lcamtuf bug #1) [no patch]
Vulnerable to CVE-2014-6278 (lcamtuf bug #2) [prefix/()-suffix]
Variable function parser inactive, likely safe from unknown parser bugs

쉘 스크립트는 여기에 있습니다(위험은 본인 부담으로 실행되지만 합법적인 것처럼 보입니다).

https://github.com/hannob/bashcheck/blob/master/bashcheck

IRC 사람들은 패치되지 않은 쉘쇼크 관련 취약점을 보고하는 다른 스크립트도 보고했습니다.

여기에는 두 가지 가능성이 있습니다. 스크립트가 6277 및 6278을 여전히 취약한 것으로 잘못 보고하거나,https://security-tracker.debian.org/tracker/CVE-2014-6277(내가 이 글을 쓰는 동안) 틀렸습니다.

어떤거야?

어떤 Debian 패치가 6277과 6278을 수정할 수 있나요?

답변1

데비안은 wheezy(-security) 버전에 다양한 패치를 적용하여 bashCVE-2014-6277 및 CVE-2014-6278이 악용되는 것을 방지했습니다.

바라보다https://github.com/hannob/bashcheck/blob/master/README.md결과를 해석하는 방법.

데비안에서 내 (아마도 최신) bashcheck 스크립트의 출력은 다음과 같습니다.

Testing /bin/bash ...
GNU bash, Version 4.2.37(1)-release (x86_64-pc-linux-gnu)

Variable function parser pre/suffixed [(), redhat], bugs not explitable
Not vulnerable to CVE-2014-6271 (original shellshock)
Not vulnerable to CVE-2014-7169 (taviso bug)
Not vulnerable to CVE-2014-7186 (redir_stack bug)
Test for CVE-2014-7187 not reliable without address sanitizer
Found non-exploitable CVE-2014-6277 (lcamtuf bug #1)
Found non-exploitable CVE-2014-6278 (lcamtuf bug #2)

보안 버전의 (축약된) 변경 로그는 deb7u3다음과 같습니다.

bash (4.2+dfsg-0.1+deb7u3) wheezy-security; urgency=high

  * Add variables-affix.patch patch.
    Apply patch from Florian Weimer to add prefix and suffix for environment
    variable names which contain shell functions.
  * Add parser-oob.patch patch.
    Fixes two out-of-bound array accesses in the bash parser.

bash (4.2+dfsg-0.1+deb7u2) wheezy-security; urgency=high

  * Add CVE-2014-7169.diff diff.
    CVE-2014-7169: Incomplete fix for CVE-2014-6271. (Closes: #762760, #762761)

bash (4.2+dfsg-0.1+deb7u1) wheezy-security; urgency=high

  * Apply patch from Chet Ramey to fix CVE-2014-6271.

관련 정보