CVE-2014-6271 bashの脆弱性の修正をcygwinに適用する方法は?

8

この脆弱性の修正をcygwinに適用する方法を知りたいのですが。

CYGWIN_NT-6.1 MYHOSTNAME 1.7.30(0.272/5/3) 2014-05-23 10:36 x86_64 CygwinWindows 7でcygwinを実行しています。

 #bash -version
 GNU bash, version 4.1.11(2)-release (x86_64-unknown-cygwin)
 Copyright (C) 2009 Free Software Foundation, Inc.
 License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>


 $ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
 env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
 vulnerable
 this is a test

私はapt-cygを試しましたが、何も更新しませんでした:

    $ apt-cyg update bash
    apt-cyg update bash
    Working directory is /setup
    Mirror is http://mirrors.kernel.org/sourceware/cygwin
    --2014-09-25 09:24:14--          http://mirrors.kernel.org/sourceware/cygwin/x86_64/setup.bz2
    Resolving mirrors.kernel.org (mirrors.kernel.org)... 149.20.4.71, 149.20.20.135,         2001:4f8:1:10:0:1994:3:14, ...
    Connecting to mirrors.kernel.org (mirrors.kernel.org)|149.20.4.71|:80...         connected.
    HTTP request sent, awaiting response... 200 OK
    Length: 431820 (422K) [application/x-bzip2]
    Saving to: setup.bz2

    100%        [======================================================================================>]         431,820      898KB/s   in 0.5s

    2014-09-25 09:24:14 (898 KB/s) - setup.bz2 saved [431820/431820]

      Updated setup.ini

setup-x86_64.exeシェルの下に表示されているbashを実行して再インストールし、bash を再インストールしようとすると、すべてのダウンロードが開始されるようです。それは非常に迅速なアップデートになるはずですが、15分以上ダウンロードを開始してからキャンセルしました。私はhttps://cygwin.comサイトや他のフォーラムを見回しましたが、これまでのところ、この脆弱性に対する特定の更新はありません。

bash  security  cygwin  shellshock 
ラザ
ソース
1
初めてインストールしたときと同じように、setup-arch.exeを実行します。今日は早くやった。このCygwinページを
eyoung100 '09 / 09/25
@ eyoung100うまくいきましたか?あなたが気づいたように、私はそれをしました、そして、それはすべてをダウンロードしていて、それが非常に長くかかっていたようです。ただし、ウィザードからbashのみを選択しました。すべてを上書きする前に確認したい
Raza
それは機能します、私は証拠のためにスクリーンショットを投稿できますが、アップデートはバージョン4.1.11(5)をネットするはずです-リリースx86_64-unknown-cygwin
eyoung100
あなたの言葉は十分です:)。これを更新するために何時間も実行します。
Raza、2014
1
その後、セットアップを再実行すると、削除したすべての新しいバージョンが再ダウンロードされます。仮想ホームディレクトリなどを削除しない限り、問題はありません。C:\Cygwin64\Downloads` but not つまり、C:\ Cygwin64`を削除するだけです
eyoung100

回答:

6

公式のCygwinインストールページに従って:

64ビットバージョンのWindows用のCygwinのインストールと更新

64ビットWindows用のCygwinパッケージを更新またはインストールする場合はいつでも、setup-x86_64.exeを実行します。setup-x86_64.exeの署名を使用すると、この公開鍵を使用してこのバイナリの有効性を確認できます。

このbashに影響が出たので、セットアップページの指示どおり、質問を投稿する15分前に質問しました。

サードパーティのスクリプトは必要ありません。C:\Cygwin64\Downloads セットアップユーティリティでダウンロードディレクトリを整理していなかったため、プロセスが変わったと思います。現在インストールされているパッケージをスキャンし、デフォルトのままにしました。そのため、基本システムのすべてのパッケージが更新されました。これらの1つは、CVE-2014-6271の影響を受けるbashでした。次のスクリーンショットで保護されている証拠を確認できます。

更新されたBash-Cygwin

このアップデートが、発見された他の脆弱性から保護するかどうかはわかりませんので、この問題が完全に修正されるまで、数日後に上記の手順に従ってください。

eyoung100
ソース
2

これは、cygwin bashのshellshockにパッチを適用したバージョン(他のバグバリエーション/パッチに従う)に似ています。

日付:2014年9月29日月曜日15:22:43 -0600

https://cygwin.com/ml/cygwin-announce/2014-09/msg00040.html

別名:4.1.14-7

「これは、CVE-2014-7169およびその他のすべてのShellShock攻撃を修正するための上流パッチをピックアップするマイナーな再構築です(4.1.13-6も安全でしたが、「()」ではなく「()」を使用するわずかに異なる下流パッチを使用しました%% '環境変数にあり、名前が識別子ではない関数のインポートに過度に制限されていました。CVE-2014-7186、CVE-2014-7187、CVE-2014-6277などのパーサークラッシュがまだ知られています)アップストリームはおそらくすぐにパッチを発行しますが、これらの問題はローカルクラッシュを引き起こす可能性がありますが、このビルドによって任意の変数の内容を介して特権を昇格させるために悪用することはできません。脆弱なバージョンのbashは、特別に環境変数を作成し、多くのリモートサービスを通じて悪用可能でした。したがって、アップグレードすることを強くお勧めします... "

また、setup-x86_64.exeを使用して新しいバージョンのbashを取得する前に、cygwinダウンロードディレクトリを削除する必要がありました。:(したがって、「bash --version」で確認して、パッチレベルを確認してください。

しかし、まだ森から出ていないかもしれません...

REF:http : //www.zdnet.com/the-shellshock-faq-heres-what-you-need-to-know-7000034219/

"CVE-2014-6277&CVE-2014-6278:セキュリティ研究者が2つの追加のバグを発見しました。これらの2つのバグは、元のBashバグと同様に、任意のコマンドインジェクションの可能性があると思われます。詳細はまだ公表されていません、適切なパッチを作成できるようにするためです。」

CVE-2014-6277

元のリリース日:2014年9月27日

CVE-2014-6278

元のリリース日:2014年9月30日

はぁ。目を離さず、BASHのパッチをもう少し長くする必要があるようです。ただし、cygwinでのbash 4.1.14-7(およびその後)の方がはるかに優れている可能性があります。

お役に立てば幸いです。

黒123
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.