Dieses Update kann von der Apple-Support-Website geladen werden.
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit finden Sie auf der Website Apple-Produktsicherheit.
Informationen zum Apple-PGP-Schlüssel für die Produktsicherheit finden Sie unter Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit.
Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.
Informationen zu weiteren Sicherheitsupdates finden Sie unter Apple-Sicherheitsupdates.
OS X-Bash-Update 1.0
-
Bash
Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5
Auswirkung: In bestimmten Konfigurationen kann ein entfernter Angreifer willkürliche Shell-Befehle ausführen
Beschreibung: Es bestand ein Problem beim Parsen von Umgebungsvariablen in Bash. Dieses Problem wurde durch ein verbessertes Parsen von Umgebungsvariablen behoben, indem das Ende der Funktionsanweisung besser erkannt wird.
Diese Aktualisierung beinhaltet auch die vorgeschlagene Änderung aus CVE-2014-7169, welche den Parser-Status zurücksetzt.
Darüber hinaus fügt diese Aktualisierung einen neuen Namespace für exportierte Funktionen hinzu, indem ein Function Decorator erstellt wird, um ein unbeabsichtigtes Durchleiten eines Headers an Bash zu verhindern. Die Namen aller Umgebungsvariablen, die Funktionsdefinitionen einführen, müssen das Präfix "__BASH_FUNC<" und das Suffix ">()" aufweisen, damit eine unbeabsichtigte Weitergabe einer Funktion über HTTP-Header verhindert wird.
CVE-ID
CVE-2014-6271: Stephane Chazelas
CVE-2014-7169: Tavis Ormandy