OS X bash güncellemesi 1.0 hakkında

Bu belgede OS X bash güncellemesi 1.0'ın güvenlik içeriği açıklanmaktadır.

Bu güncelleme Apple Destek web sitesinden indirilebilir.

Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.

Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için Apple Ürün Güvenliği PGP Anahtarı'nı kullanma başlıklı makaleye bakın.

Daha fazla bilgi sağlamak amacıyla güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Diğer Güvenlik Güncellemeleri hakkında bilgi için Apple Güvenlik Güncellemeleri başlıklı makaleye bakın.

OS X bash güncellemesi 1.0

• Bash

  İlgili sürümler: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5

  Etki: Belirli konfigürasyonlarda, uzaktaki bir saldırgan rastgele kabuk komutları yürütebilir

  Açıklama: Bash'in ortam değişkenlerini ayrıştırmasında bir sorun vardı. Bu sorun, işlev ifadesi sonunun daha iyi algılanması yoluyla ortam değişkeni ayrıştırması iyileştirilerek giderildi.

  Bu güncelleme, önerilen CVE-2014-7169 değişikliğini (ayrıştırıcı durumunu sıfırlar) de içeriyordu.

  Ayrıca bu güncellemede, başlığın Bash'e istenmeyen geçişini önlemek için bir işlev dekoratörü oluşturularak dışa aktarılan işlevlere yönelik yeni bir ad alanı eklendi. İstenmeyen işlevlerin HTTP başlıkları aracılığıyla geçmesini önlemek için, işlev tanımları içeren tüm ortam değişkenlerinin adının "__BASH_FUNC<" ön ekine ve ">()" son ekine sahip olması gerekir.

  CVE-ID

  CVE-2014-6271: Stephane Chazelas

  CVE-2014-7169: Tavis Ormandy