どのDebianパッチがshellshock lcamt​​uf CVE-2014-6277とCVE-2014-6278を修正しますか? [閉鎖]

どのDebianパッチがshellshock lcamt​​uf CVE-2014-6277とCVE-2014-6278を修正しますか? [閉鎖]

この問題は次のとおりです。いいえコピー:Shellshock(CVE-2014-6271/7169)バグはいつ紹介されましたか?このバグを完全に修正したパッチは何ですか?

によると:

https://security-tracker.debian.org/tracker/CVE-2014-6277

CVE-2014-6277はbashパッケージを介してwheezy(セキュリティ)の問題を修正しました。4.2+dfsg-0.1+deb7u3

しかし、このバージョンのBashを使用してDebianシステムでbashシェルスクリプトを実行して、6つの異なるshellshockエクスプロイトをテストした場合4.2+dfsg-0.1+deb7u3、次のような出力を取得します。

Testing /bin/bash ...
GNU bash, version 4.2.37(1)-release (x86_64-pc-linux-gnu)

Not vulnerable to CVE-2014-6271 (original shellshock)
Not vulnerable to CVE-2014-7169 (taviso bug)
Not vulnerable to CVE-2014-7186 (redir_stack bug)
Test for CVE-2014-7187 not reliable without address sanitizer
Vulnerable to CVE-2014-6277 (lcamtuf bug #1) [no patch]
Vulnerable to CVE-2014-6278 (lcamtuf bug #2) [prefix/()-suffix]
Variable function parser inactive, likely safe from unknown parser bugs

シェルスクリプトはここにあります(危険はあなたの負担で実行されますが、合法的なようです)。

https://github.com/hannob/bashcheck/blob/master/bashcheck

IRCの人々は、パッチされていないシェルショック関連の脆弱性を報告する他のスクリプトも報告しました。

これには2つの可能性があります。スクリプトが6277と6278をまだ脆弱であると誤って報告したり、https://security-tracker.debian.org/tracker/CVE-2014-6277(私がこの記事を書いている間)間違っていました。

何ですか?

どのDebianパッチで6277と6278を修正できますか?

答え1

Debian は wheezy(-security) バージョンにさまざまなパッチを適用し、bashCVE-2014-6277 および CVE-2014-6278 が悪用されるのを防ぎました。

バラよりhttps://github.com/hannob/bashcheck/blob/master/README.md結果を解釈する方法。

Debianでは、私の(おそらく最新の)bashcheckスクリプトの出力は次のようになります。

Testing /bin/bash ...
GNU bash, Version 4.2.37(1)-release (x86_64-pc-linux-gnu)

Variable function parser pre/suffixed [(), redhat], bugs not explitable
Not vulnerable to CVE-2014-6271 (original shellshock)
Not vulnerable to CVE-2014-7169 (taviso bug)
Not vulnerable to CVE-2014-7186 (redir_stack bug)
Test for CVE-2014-7187 not reliable without address sanitizer
Found non-exploitable CVE-2014-6277 (lcamtuf bug #1)
Found non-exploitable CVE-2014-6278 (lcamtuf bug #2)

セキュリティバージョンの(短縮された)変更ログはdeb7u3次のとおりです。

bash (4.2+dfsg-0.1+deb7u3) wheezy-security; urgency=high

  * Add variables-affix.patch patch.
    Apply patch from Florian Weimer to add prefix and suffix for environment
    variable names which contain shell functions.
  * Add parser-oob.patch patch.
    Fixes two out-of-bound array accesses in the bash parser.

bash (4.2+dfsg-0.1+deb7u2) wheezy-security; urgency=high

  * Add CVE-2014-7169.diff diff.
    CVE-2014-7169: Incomplete fix for CVE-2014-6271. (Closes: #762760, #762761)

bash (4.2+dfsg-0.1+deb7u1) wheezy-security; urgency=high

  * Apply patch from Chet Ramey to fix CVE-2014-6271.

関連情報