Informationen zum OS X-Bash-Update 1.0

Dieses Dokument beschreibt den Sicherheitsinhalt des OS X-Bash-Update 1.0.

Dieses Update kann von der Apple-Support-Website geladen werden.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit finden Sie auf der Website Apple-Produktsicherheit.

Informationen zum Apple-PGP-Schlüssel für die Produktsicherheit finden Sie unter Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit.

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates finden Sie unter Apple-Sicherheitsupdates.

OS X-Bash-Update 1.0

  • Bash

    Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5

    Auswirkung: In bestimmten Konfigurationen kann ein entfernter Angreifer willkürliche Shell-Befehle ausführen

    Beschreibung: Es bestand ein Problem beim Parsen von Umgebungsvariablen in Bash. Dieses Problem wurde durch ein verbessertes Parsen von Umgebungsvariablen behoben, indem das Ende der Funktionsanweisung besser erkannt wird.

    Diese Aktualisierung beinhaltet auch die vorgeschlagene Änderung aus CVE-2014-7169, welche den Parser-Status zurücksetzt.

    Darüber hinaus fügt diese Aktualisierung einen neuen Namespace für exportierte Funktionen hinzu, indem ein Function Decorator erstellt wird, um ein unbeabsichtigtes Durchleiten eines Headers an Bash zu verhindern. Die Namen aller Umgebungsvariablen, die Funktionsdefinitionen einführen, müssen das Präfix "__BASH_FUNC<" und das Suffix ">()" aufweisen, damit eine unbeabsichtigte Weitergabe einer Funktion über HTTP-Header verhindert wird.

    CVE-ID

    CVE-2014-6271: Stephane Chazelas

    CVE-2014-7169: Tavis Ormandy

Informationen zu nicht von Apple gefertigten Produkten sowie nicht von Apple gesteuerte oder geprüfte unabhängige Websites werden ohne Empfehlung und Unterstützung zur Verfügung gestellt. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple übernimmt keine Garantie für die Richtigkeit und Zuverlässigkeit von Drittanbieter-Websites. Die Nutzung des Internets birgt Risiken. Kontaktieren Sie den Hersteller, um zusätzliche Informationen zu erhalten. Andere Produkt- und Firmennamen sind möglicherweise Marken ihrer jeweiligen Eigentümer.

Veröffentlichungsdatum: