Informace o aktualizaci shellu Bash v OS X (verze 1.0)

Tento dokument popisuje bezpečnostní obsah aktualizace shellu Bash v OS X (verze 1.0)

Tuto aktualizaci lze stáhnout z webu podpory Apple.

Apple v zájmu ochrany zákazníků nezveřejňuje, nerozebírá ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřeny a nejsou k dispozici potřebné opravy nebo aktualizace. Podrobnější informace o zabezpečení produktů Apple najdete na webové stránce Zabezpečení produktů Apple.

Informace o klíči PGP zabezpečení produktů Apple najdete v článku Jak používat klíč PGP zabezpečení produktů Apple.

Pokud je to možné, jako odkazy na další informace o bezpečnostních chybách se používají identifikátory CVE ID.

Informace o dalších bezpečnostních aktualizacích najdete v článku Bezpečnostní aktualizace Apple.

Aktualizace shellu Bash v OS X (verze 1.0)

  • Bash

    K dispozici pro: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5

    Dopad: V určitých konfiguracích může být vzdálený útočník schopen spustit svévolné příkazy shellu.

    Popis: Při analýze proměnných prostředí shellu Bash docházelo k problému. Tento problém byl vyřešen vylepšenou analýzou proměnných prostředí a lepší detekcí ukončení výrazu funkce.

    Tato aktualizace také zahrnovala doporučovanou změnu CVE-2014-7169, která resetuje stav analyzátoru.

    Tato aktualizace navíc přidala nový jmenný prostor pro exportované funkce vytvořením dekorátoru funkce za účelem zabránění nechtěnému průchodu hlavičky do shellu Bash. Názvy všech proměnných prostředí, které zavádí definice funkcí, musí mít předponu „__BASH_FUNC<“ a příponu „>()“, aby nedocházelo k nechtěnému předávání funkcí prostřednictvím hlaviček HTTP.

    CVE-ID

    CVE-2014-6271: Stephane Chazelas

    CVE-2014-7169: Tavis Ormandy

Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. S používáním internetu jsou neodmyslitelně spojena rizika. Další informace získáte od výrobce. Názvy jiných společností a produktů mohou být ochrannými známkami příslušných vlastníků.

Datum zveřejnění: