Сведения об обновлении Bash Update 1.0 для ОС OS X

В этом документе описываются проблемы безопасности, устраняемые в Bash Update 1.0 для ОС OS X.

Это обновление можно загрузить с веб-сайта службы поддержки Apple.

В целях защиты клиентов компания Apple не разглашает информацию о проблемах в системе безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на странице Безопасность продуктов Apple.

Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Как использовать PGP-ключ защиты продуктов Apple.

Там, где это возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.

Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.

Обновление bash Update 1.0 для ОС OS X

  • Bash

    Подвержены уязвимости: ОС OS X Lion 10.7.5, ОС OS X Lion Server 10.7.5, ОС OS X Mountain Lion 10.8.5, ОС OS X Mavericks 10.9.5

    Воздействие. В определенных конфигурациях удаленный злоумышленник может получить возможность выполнять произвольные команды shell.

    Описание. При обработке переменных среды Bash возникала ошибка. Проблема устранена путем улучшения процесса обработки переменных среды методом более точного определения конца оператора функции.

    В это обновление также включено рекомендуемое изменение CVE-2014-7169, которое возвращает анализатор в исходное состояние.

    Кроме того, это обновление добавляет новое пространство имен для экспортированных функций путем создания декораторов функции с целью предотвратить случайную транзитную пересылку заголовков в Bash. Чтобы предотвратить случайную пересылку функций через заголовки HTTP, имена всех переменных среды, представляющих определение функции, должны иметь префикс __BASH_FUNC< и суффикс >().

    Идентификатор CVE

    CVE-2014-6271: Стефан Чазелас (Stephane Chazelas)

    CVE-2014-7169: Тэвис Орманди (Tavis Ormandy)

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного характера и не рекламируются компанией. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Помните, что использование любых сведений или продуктов, размещенных в Интернете, сопровождается риском. За дополнительной информацией обращайтесь к поставщику. Другие названия компаний или продуктов могут быть товарными знаками соответствующих владельцев.

Дата публикации: