Om bash-uppdatering för OS X 1.0

Det här dokumentet beskriver säkerhetsinnehållet i bash-uppdatering för OS X 1.0.

Denna uppdatering kan laddas ner från webbplatsen för Apple-support.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen för Apples Product Security.

Information om PGP-nyckeln från Apple Product Security finns i Så här använder du en PGP-nyckel från Apple Product Security.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Mer information om andra säkerhetsuppdateringar finns i Säkerhetsuppdateringar från Apple.

Bash-uppdatering för OS X 1.0

• Bash

  Tillgänglig för: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5

  Effekt: I vissa konfigurationer kan en angripare på distans utföra godtyckliga shell-kommandon

  Beskrivning: Det fanns ett problem i Bashs tolkning av miljövariabler. Detta problem löstes genom förbättrad tolkning av miljövariabler genom att bättre upptäcka slutet på funktionssatsen.

  Den här uppdateringen innehåller även den föreslagna ändringen CVE-2014-7169, som återställer parserns tillstånd.

  Dessutom har denna uppdatering lagt till ett nytt namnområde för exporterade funktioner genom att skapa en funktionsdekorator för att förhindra oavsiktlig genomföring av sidhuvuden till Bash. Namnen på alla miljövariabler som innehåller funktionsdefinitioner måste ha prefixet ”__BASH_FUNC<” och suffixet ”>()” för att förhindra oavsiktlig funktionsöverföring via HTTP-sidhuvuden.

  CVE-ID

  CVE-2014-6271 : Stephane Chazelas

  CVE-2014-7169 : Tavis Ormandy