CygwinでCVE-2014-6271 bashの脆弱性に対する修正を適用するには?

CygwinでCVE-2014-6271 bashの脆弱性に対する修正を適用するには?

cygwinでこの脆弱性に対する修正を適用する方法を知りたいです。

CYGWIN_NT-6.1 MYHOSTNAME 1.7.30(0.272/5/3) 2014-05-23 10:36 x86_64 Cygwin私はWindows 7でcygwinを実行しています。

 #bash -version
 GNU bash, version 4.1.11(2)-release (x86_64-unknown-cygwin)
 Copyright (C) 2009 Free Software Foundation, Inc.
 License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>


 $ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
 env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
 vulnerable
 this is a test

apt-cygを試しましたが、何も更新しませんでした。

    $ apt-cyg update bash
    apt-cyg update bash
    Working directory is /setup
    Mirror is http://mirrors.kernel.org/sourceware/cygwin
    --2014-09-25 09:24:14--          http://mirrors.kernel.org/sourceware/cygwin/x86_64/setup.bz2
    Resolving mirrors.kernel.org (mirrors.kernel.org)... 149.20.4.71, 149.20.20.135,         2001:4f8:1:10:0:1994:3:14, ...
    Connecting to mirrors.kernel.org (mirrors.kernel.org)|149.20.4.71|:80...         connected.
    HTTP request sent, awaiting response... 200 OK
    Length: 431820 (422K) [application/x-bzip2]
    Saving to: ‘setup.bz2’

    100%        [======================================================================================>]         431,820      898KB/s   in 0.5s

    2014-09-25 09:24:14 (898 KB/s) - ‘setup.bz2’ saved [431820/431820]

      Updated setup.ini

setup-x86_64.exeシェルの下に示すように、ウィザードを介してbashを実行して再インストールして再インストールしようとすると、すべてがダウンロードされ始めるようです。アップデートが早くなければなりませんが、15分以上ダウンロードが始まってキャンセルされました。ウェブサイトやその他のフォーラムを確認しましたが、https://cygwin.comこれまでこの脆弱性に関する具体的なアップデートはありませんでした。

答え1

公式紹介によるとCygwinのインストールページ:

64ビット版のWindows用Cygwinのインストールとアップデート

64ビットWindows用のCygwinパッケージを更新またはインストールするには、setup-x86_64.exeを実行してください。 setup-x86_64.exeの署名を使用すると、この公開鍵を使用してこのバイナリを検証できます。

私はこのbashが影響を受けると予感したので、あなたが質問を投稿する約15分前に設定ページの指示に従いました。


サードパーティのスクリプトは必要ありません。C:\Cygwin64\Downloads セットアップユーティリティが現在インストールされているパッケージを検索するときに、ダウンロードディレクトリをクリーンアップせずにデフォルト値のままにしたので、プロセスが異なると思います。したがって、基本システムのすべてのパッケージが更新されました。その1つはCVE-2014-6271の影響を受けるbashです。次のスクリーンショットで保護されているという証拠を確認できます。

更新されたBash - Cygwin

今回のアップデートで発見された他の脆弱性が予防されるかどうかはわかりませんので、この問題が完全に修正されるまで数日間上記の手順に従ってください。

答え2

これはcygwin bash用のshellshockパッチバージョンのように見えます(他のバグバリエーション/パッチによって異なります)。

日付:2014年9月29日月曜日15:22:43 -0600

https://cygwin.com/ml/cygwin-announce/2014-09/msg00040.html

4.1.14-7とも呼ばれる

これは、CVE-2014-7169および他のすべてのShellShockエクスプロイトを修正するためにアップストリームパッチを適用する小規模再構築です(4.1.13-6も安全ですが、修正するわずかに異なるダウンストリームパッチを使用しています。例:CVE-2014-7186、CVE-2014-7187、およびCVE-2014-6277)、パッチはすぐにアップストリームでリリースされる可能性がありますが、これらの問題はローカルの競合を引き起こす可能性がありますが、パッチが適用されていない場合は権限を昇格させる悪用することはできませんが、bashは脆弱ですが、不正なバージョンを使用してランダムなコード実行を許可し、多くのリモートサービスを介して悪用される可能性があります。

また、setup-x86_64.exeで最新バージョンのbashを入手するには、cygwinダウンロードディレクトリを削除する必要がありました。 :(したがって、「bash --version」を使用してパッチレベルを確認してください。

しかし、私たちはまだ森から出ていないかもしれません…

引用:http://www.zdnet.com/the-shellshock-faq-heres-what-you-need-to-know-7000034219/

CVE-2014-6277とCVE-2014-6278:セキュリティ研究者はさらに2つのバグを発見しました。作成されていません。公開されているので、適切なパッチを作成してください。

CVE-2014-6277

オリジナル出版日:2014年9月27日

CVE-2014-6278

オリジナル出版日:2014年9月30日

ため息をつく。しばらくはBASHを見続けながらパッチを進める必要があるようです。しかし、cygwin(およびそれ以降のバージョン)のbash 4.1.14-7を使用する方が良いかもしれません。

お役に立てば幸いです。

関連情報