Om OS X bash-opdatering 1.0

I dette dokument beskrives sikkerhedsindholdet i OS X bash-opdatering 1.0.

Denne opdatering kan downloades fra Apple-supports websted.

Af hensyn til vores kunders sikkerhed omtaler, diskuterer eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet om Apple-produktsikkerhed.

Yderligere oplysninger om PGP-nøglen til Apple-produktsikkerhed kan ses i artiklen Sådan bruges PGP-nøglen til Apple-produktsikkerhed.

Hvor det er muligt, bruges der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.

Du kan finde oplysninger om andre sikkerhedsopdateringer i artiklen Apple-sikkerhedsopdateringer.

OS X bash-opdatering 1.0

• Bash

  Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5

  Effekt: I visse konfigurationer kan en hacker med fjernadgang muligvis køre vilkårlige shell-kommandoer

  Beskrivelse: Der var et problem i Bashs parsing af miljøvariabler. Problemet er løst ved forbedret parsing af miljøvariabler gennem bedre registrering af slutningen på funktionsbeskrivelsen.

  Denne opdatering inkorporerede også den foreslåede CVE-2014-7169-ændring, som nulstiller parsertilstanden.

  Derudover tilføjede denne opdatering et nyt navneområde til eksporterede funktioner ved at oprette en funktionsdekoratør for at forhindre utilsigtet header-overførsel til Bash. Navnene på alle miljøvariabler, der introducerer funktionsdefinitioner, skal have præfikset "__BASH_FUNC<" og suffikset ">()" for at forhindre, at utilsigtede funktioner overføres via HTTP-headers.

  CVE-ID

  CVE-2014-6271 : Stephane Chazelas

  CVE-2014-7169 : Tavis Ormandy