Om OS X bash-oppdatering 1.0

Dette dokumentet beskriver sikkerhetsinnholdet i OS X bash-oppdatering 1.0.

Denne oppdateringen kan lastes ned fra nettstedet for Apple-kundestøtte.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. Du finner mer informasjon om Apple-produktsikkerhet på nettstedet for Apple-produktsikkerhet.

For å finne ut mer om PGP-nøkkelen fra Apple Produktsikkerhet går du til Slik bruker du PGP-nøkkelen fra Apple Produktsikkerhet.

Der det er mulig, brukes CVE-ID-er som henvisning for ytterligere informasjon om svakhetene.

For å finne ut mer om sikkerhetsoppdateringer går du til Apple Sikkerhetsoppdateringer.

OS X bash-oppdatering 1.0

• Bash

  Tilgjengelig for: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5

  Virkning: I enkelte konfigurasjoner kan en ekstern angriper være i stand til å kjøre vilkårlige skallkommandoer

  Beskrivelse: Det var et problem med Bashs analyse av miljøvariabler. Problemet ble løst gjennom forbedret analyse av miljøvariabler ved å forbedre registreringen av slutten på funksjonsutsagnet.

  Denne oppdateringen inkluderte også den foreslåtte endringen CVE-2014-7169, som tilbakestiller analysetilstanden.

  I tillegg har denne oppdateringen lagt til et nytt navneområde for eksporterte funksjoner ved å opprette en funksjonsdekoratør for å forhindre utilsiktede overskrifter i Bash. Navnene på alle miljøvariabler som introduserer funksjonsdefinisjoner, må ha prefikset «__BASH_FUNC<» og suffikset «>()» for å forhindre at en funksjon utilsiktet sendes via HTTP-overskrifter.

  CVE-ID

  CVE-2014-6271: Stephane Chazelas

  CVE-2014-7169: Tavis Ormandy