Gostaria de descobrir como aplico a correção para esta vulnerabilidade no cygwin.
Estou executando o CYGWIN_NT-6.1 MYHOSTNAME 1.7.30(0.272/5/3) 2014-05-23 10:36 x86_64 Cygwincygwin no Windows 7.
#bash -version
GNU bash, version 4.1.11(2)-release (x86_64-unknown-cygwin)
Copyright (C) 2009 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>
$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test
Eu tentei o apt-cyg, mas não atualizou nada:
$ apt-cyg update bash
apt-cyg update bash
Working directory is /setup
Mirror is http://mirrors.kernel.org/sourceware/cygwin
--2014-09-25 09:24:14-- http://mirrors.kernel.org/sourceware/cygwin/x86_64/setup.bz2
Resolving mirrors.kernel.org (mirrors.kernel.org)... 149.20.4.71, 149.20.20.135, 2001:4f8:1:10:0:1994:3:14, ...
Connecting to mirrors.kernel.org (mirrors.kernel.org)|149.20.4.71|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 431820 (422K) [application/x-bzip2]
Saving to: ‘setup.bz2’
100% [======================================================================================>] 431,820 898KB/s in 0.5s
2014-09-25 09:24:14 (898 KB/s) - ‘setup.bz2’ saved [431820/431820]
Updated setup.ini
ao tentar reinstalar executando setup-x86_64.exee passando pelo assistente para reinstalar o bash que está sendo exibido no shell, parece que você começa a baixar tudo. A atualização deve ser muito rápida, mas o download começa por mais de 15 minutos e eu a cancelei. Olhei em torno do https://cygwin.comsite e de outro fórum, mas até o momento não há nenhuma atualização específica para esta vulnerabilidade.
bash
security
cygwin
shellshock
Raza
fonte
fonte
C:\Cygwin64\Downloads` but notC: \ Cygwin64`Respostas:
De acordo com a página de instalação oficial do Cygwin :
Tive um palpite sobre o qual este bash foi afetado; portanto, cerca de 15 minutos antes de você postar sua pergunta, eu o fiz conforme a página de configuração.
Não há necessidade de um script de terceiros. Acredito que o processo foi diferente para mim, porque eu não havia limpado meu Diretório de Download em
C:\Cygwin64\DownloadsO utilitário de configuração Examinou meus pacotes atualmente instalados e deixei os padrões em paz. Como tal, todos os pacotes no sistema base foram atualizados. Um deles foi o bash afetado pelo CVE-2014-6271. Você pode ver a prova de que está protegido pela seguinte captura de tela:Observe que não sei se esta atualização protege contra outras vulnerabilidades que foram descobertas; portanto, siga o procedimento acima nos próximos dias até que esse problema seja completamente corrigido.
fonte
Parece com a versão que corrigiu o shellshock (sujeito a outras variações / patches de bugs.) Para o cygwin bash:
Data: segunda-feira, 29 de setembro de 2014 15:22:43 -0600
https://cygwin.com/ml/cygwin-announce/2014-09/msg00040.html
AKA: 4.1.14-7
"Esta é uma pequena reconstrução que pega um patch upstream para corrigir o CVE-2014-7169 e todos os outros ataques ShellShock (4.1.13-6 também era seguro, mas usava um patch downstream ligeiramente diferente que usava '()' em vez de ' %% 'nas variáveis de ambiente e que eram excessivamente restritivas na importação de funções cujo nome não era um identificador). Ainda existem falhas de análise do analisador (como CVE-2014-7186, CVE-2014-7187 e CVE-2014-6277 ) onde o upstream provavelmente emitirá patches em breve; mas, embora esses problemas possam desencadear uma falha local, eles não podem ser explorados para escalação de privilégios por meio de conteúdo variável arbitrário por esta compilação.Deixada sem correção, uma versão vulnerável do bash pode permitir a execução arbitrária de código via especialmente variáveis de ambiente criadas e explorável por meio de vários serviços remotos,por isso, é altamente recomendável que você atualize ... "
Também tive que remover meu diretório de download do cygwin antes de poder obter uma versão mais recente do bash através do setup-x86_64.exe. :( Verifique com "bash --version" para confirmar o seu nível de patch.
No entanto, ainda não podemos estar fora de perigo ...
REF: http://www.zdnet.com/the-shellshock-faq-heres-what-you-need-to-know-7000034219/
"CVE-2014-6277 e CVE-2014-6278: Pesquisadores de segurança descobriram dois bugs adicionais. Esses dois bugs devem ter potencial para injeção arbitrária de comandos, semelhante ao bug Bash original. No entanto, os detalhes ainda não foram divulgados, para permitir a criação de patches apropriados ".
CVE-2014-6277
Data de lançamento original: 27/09/2014
CVE-2014-6278
Data de lançamento original: 30/09/2014
Suspiro. Parece que precisamos ficar de olho e manter o patch do BASH por mais algum tempo. No entanto, você provavelmente é muito melhor no (e depois) bash 4.1.14-7 no cygwin.
Espero que ajude.
fonte