Informazioni sull'aggiornamento 1.0 di bash per OS X

In questo documento vengono descritti i contenuti di sicurezza dell'aggiornamento 1.0 di bash per OS X.

È possibile scaricare questo aggiornamento dal sito web del supporto Apple.

Per proteggere la propria clientela, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Consulta il sito web dedicato alla sicurezza dei prodotti Apple per ulteriori informazioni in merito.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple consulta l'articolo Come usare la chiave PGP per la sicurezza dei prodotti Apple.

Quando possibile, vengono utilizzati gli ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per informazioni su altri aggiornamenti di sicurezza consulta l'articolo Aggiornamenti di sicurezza Apple.

Aggiornamento 1.0 di bash per OS X

  • Bash

    Disponibile per: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5

    Impatto: in alcune configurazioni, un utente malintenzionato collegato in remoto potrebbe essere in grado di eseguire comandi shell arbitrari.

    Descrizione: si verificava un problema nell'analisi delle variabili ambientali da parte di bash. Il problema è stato risolto attraverso una migliore analisi delle variabili ambientali dovuta a un migliore rilevamento della fine dell'istruzione di funzione.

    L'aggiornamento include anche la modifica CVE-2014-7169 suggerita, che reimposta lo stato del parser.

    Inoltre, ha aggiunto un nuovo namespace per le funzioni esportate creando un decoratore di funzioni per impedire il passaggio involontario delle intestazioni a bash. I nomi di tutte le variabili ambientali che introducono le definizioni delle funzioni devono avere il prefisso "__BASH_FUNC<" e il suffisso ">()" per impedire il passaggio indesiderato di funzioni tramite intestazioni HTTP.

    CVE-ID

    CVE-2014-6271: Stephane Chazelas

    CVE-2014-7169: Tavis Ormandy

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: