Az OS X bash Update 1.0

Ez a dokumentum az OS X bash Update 1.0 frissítés biztonsági változásjegyzékét tartalmazza.

A frissítés az Apple-támogatás webhelyéről tölthető le.

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

Az Apple termékbiztonsági PGP-kulcsáról Az Apple termékbiztonsági PGP-kulcs használata című cikkben talál bővebb információkat.

Ahol csak lehetséges, a cikk a CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.

Más biztonsági frissítésekről Az Apple biztonsági frissítései című cikkből tájékozódhat.

OS X bash Update 1.0

• Bash

  A következőkhöz érhető el: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5

  Érintett terület: Bizonyos konfigurációk esetén távoli támadók végre tudtak hajtani tetszőleges rendszerhéjparancsokat.

  Leírás: Egy hiba állt fenn a környezeti változók Bash általi elemzésével összefüggésben. A hibát azzal küszöböltük ki, hogy a függvényutasítás végének pontosabb észlelése révén hatékonyabbá tettük a környezeti változók elemzését.

  A frissítés magában foglalja a CVE-2014-7169 azonosítójú javasolt módosítást, amely alaphelyzetbe állítja az elemző állapotát.

  Ezenkívül a frissítés új névteret létesít az exportált függvények számára egy függvénydekorátor bevezetésével, amely megakadályozza a fejlécek nem szándékolt átadását a Bashnek. Minden függvénydefiníciót tartalmazó környezeti változó nevét el kell látni a „__BASH_FUNC<” előtaggal és a „>()” utótaggal, hogy a rendszer véletlenül se adja át a függvényt HTTP-fejléceken keresztül.

  CVE-azonosítók

  CVE-2014-6271: Stephane Chazelas

  CVE-2014-7169: Tavis Ormandy