Mengenai Pembaruan OS X bash 1.0

Dokumen ini menjelaskan konten keamanan Pembaruan OS X bash 1.0.

Pembaruan ini dapat diunduh dari situs web Dukungan Apple.

Demi melindungi pelanggan kami, Apple tidak mengungkap, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.

Untuk mengetahui informasi tentang Kunci PGP Keamanan Produk Apple, baca Cara menggunakan Kunci PGP Keamanan Produk Apple.

Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.

Untuk mempelajari Pembaruan Keamanan lainnya, buka halaman Pembaruan Keamanan Apple.

Pembaruan OS X bash 1.0

• Bash

  Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5

  Dampak: Pada konfigurasi tertentu, penyerang jarak jauh mungkin dapat menjalankan perintah shell arbitrer

  Deskripsi: Terdapat masalah saat Bash mengurai variabel lingkungan. Masalah ini telah diatasi melalui penguraian variabel lingkungan yang ditingkatkan dengan deteksi akhir pernyataan fungsi yang lebih baik.

  Pembaruan ini juga menyertakan saran perubahan CVE-2014-7169, yang mengatur ulang status pengurai.

  Selain itu, pembaruan ini menambahkan ruang nama baru untuk fungsi yang diekspor dengan membuat dekorator fungsi untuk mencegah lewatnya header yang tidak diinginkan ke Bash. Nama semua variabel lingkungan yang berisi definisi fungsi harus memiliki prefiks “__BASH_FUNC<” dan sufiks “>()” untuk mencegah lewatnya fungsi yang tidak diinginkan melalui header HTTP.

  CVE-ID

  CVE-2014-6271: Stephane Chazelas

  CVE-2014-7169: Tavis Ormandy