Az OS X bash Update 1.0
Ez a dokumentum az OS X bash Update 1.0 frissítés biztonsági változásjegyzékét tartalmazza.
A frissítés az Apple-támogatás webhelyéről tölthető le.
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
Az Apple termékbiztonsági PGP-kulcsáról Az Apple termékbiztonsági PGP-kulcs használata című cikkben talál bővebb információkat.
Ahol csak lehetséges, a cikk a CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.
Más biztonsági frissítésekről Az Apple biztonsági frissítései című cikkből tájékozódhat.
OS X bash Update 1.0
Bash
A következőkhöz érhető el: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5
Érintett terület: Bizonyos konfigurációk esetén távoli támadók végre tudtak hajtani tetszőleges rendszerhéjparancsokat.
Leírás: Egy hiba állt fenn a környezeti változók Bash általi elemzésével összefüggésben. A hibát azzal küszöböltük ki, hogy a függvényutasítás végének pontosabb észlelése révén hatékonyabbá tettük a környezeti változók elemzését.
A frissítés magában foglalja a CVE-2014-7169 azonosítójú javasolt módosítást, amely alaphelyzetbe állítja az elemző állapotát.
Ezenkívül a frissítés új névteret létesít az exportált függvények számára egy függvénydekorátor bevezetésével, amely megakadályozza a fejlécek nem szándékolt átadását a Bashnek. Minden függvénydefiníciót tartalmazó környezeti változó nevét el kell látni a „__BASH_FUNC<” előtaggal és a „>()” utótaggal, hogy a rendszer véletlenül se adja át a függvényt HTTP-fejléceken keresztül.
CVE-azonosítók
CVE-2014-6271: Stephane Chazelas
CVE-2014-7169: Tavis Ormandy
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.