Acerca de la actualización OS X bash 1.0

Este documento describe el contenido de seguridad de la actualización OS X bash 1.0.

Esta actualización puede descargarse en el sitio web de Soporte Técnico de Apple.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información sobre la seguridad de los productos Apple, consulta el sitio web Seguridad de los productos Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos Apple.

Siempre que sea posible, se utilizan ID CVE para hacer referencia a las vulnerabilidades a fin de obtener más información.

Para obtener información sobre otras actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.

Actualización OS X bash 1.0

  • Bash

    Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5

    Impacto: En ciertas configuraciones, un atacante remoto podría ejecutar comandos de shell arbitrarios

    Descripción: Existía un problema en el análisis de variables ambientales de Bash. Este problema se resolvió mediante un análisis mejorado de variables ambientales, gracias a una detección más precisa del fin de la declaración de función.

    Esta actualización también incorporó el cambio CVE-2014-7169 sugerido, que restablece el estado del analizador.

    Además, esta actualización agregó un nuevo espacio de nombre para funciones exportadas, mediante la creación de un decorador de funciones para evitar el paso no intencional de encabezados a Bash. Se requieren los nombres de todas las variables ambientales que introducen definiciones de funciones para tener un prefijo "__BASH_FUNC<" y un sufijo ">()", con el fin de evitar el paso no intencional de funciones a través de encabezados HTTP.

    ID CVE

    CVE-2014-6271: Stephane Chazelas

    CVE-2014-7169: Tavis Ormandy

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados o probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o productos de otros fabricantes. Apple no ofrece ninguna representación con relación a la precisión o fiabilidad de los sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Comunícate con el proveedor para obtener información adicional. Otros nombres de compañías y productos mencionados pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: