เกี่ยวกับการอัปเดต OS X bash เวอร์ชั่น 1.0

เอกสารนี้จะอธิบายเนื้อหาความปลอดภัยของการอัปเดต OS X bash เวอร์ชั่น 1.0

การอัปเดตนี้สามารถดาวน์โหลดได้จาก เว็บไซต์การสนับสนุนของ Apple

เพื่อเป็นการป้องกันลูกค้าของเรา Apple จะไม่เปิดเผย อภิปรายหรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียดและมีโปรแกรมปะแก้ที่จำเป็นหรือมีการวางจำหน่าย หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่เว็บไซต์ การรักษาความปลอดภัยของผลิตภัณฑ์ Apple

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับคีย์ PGP เพื่อความปลอดภัยของผลิตภัณฑ์ Apple โปรดดู วิธีการใช้คีย์ PGP เพื่อความปลอดภัยของผลิตภัณฑ์ Apple

เมื่อเป็นไปได้ จะใช้ CVE ID เพื่ออ้างอิงเกี่ยวกับข้อมูลเพิ่มเติมเรื่องช่องโหว่ต่างๆ

เพื่อเรียนรู้เพิ่มเติมเกี่ยวกับการอัปเดตความปลอดภัยอื่นๆ โปรดดู การอัปเดตความปลอดภัยของ Apple

เกี่ยวกับการอัปเดต OS X bash เวอร์ชั่น 1.0

  • Bash

    มีให้สำหรับ: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5

    ผลกระทบ: ในการกำหนดค่าบางอย่าง ภัยคุกคามจากระยะไกลอาจสามารถนำคำสั่ง Shell มาใช้ได้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาในการแจกแจงตัวแปรสภาพแวดล้อมของ Bash ปัญหานี้แก้ไขได้ผ่านการปรับปรุงการแจกแจงตัวแปรสภาพแวดล้อมด้วยการตรวจหาการลงท้ายข้อความฟังก์ชันให้ดียิ่งขึ้น

    การอัปเดตนี้ยังรวมอยู่ในการเปลี่ยนแปลง CVE-2014-7169 ที่แนะนำอีกด้วย ซึ่งจะรีเซ็ตสภาวะตัวแจงส่วน

    นอกจากนี้ การอัปเดตยังเพิ่มเนมสเปซใหม่สำหรับฟังก์ชันที่ส่งออกด้วยการสร้างตัวตกแต่งฟังก์ชันเพื่อป้องกันส่วนหัวที่ไม่ได้ตั้งใจผ่านไปยัง Bash ชื่อของตัวแปรสภาพแวดล้อมทั้งหมดที่ให้คำจำกัดความของฟังก์ชันจะต้องมีคำเติมหน้าว่า "__BASH_FUNC<" และคำต่อท้าย ">()" เพื่อป้องกันฟังก์ชันที่ไม่ตั้งใจผ่านทางส่วนหัว HTTP

    CVE-ID

    CVE-2014-6271 : Stephane Chazelas

    CVE-2014-7169 : Tavis Ormandy

ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ไม่ได้ควบคุมหรือทดสอบโดย Apple มีให้โดยไม่มีคำแนะนำหรือการรับรองใดๆ Apple ไม่ขอรับผิดชอบในส่วนที่เกี่ยวกับการเลือก ประสิทธิภาพ หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น ความเสี่ยงต่างๆ ในการใช้งานอินเทอร์เน็ตถือเป็นเรื่องปกติที่เกิดขึ้นได้ ติดต่อผู้จำหน่ายสำหรับข้อมูลเพิ่มเติม ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นอาจเป็นเครื่องหมายการค้าของเจ้าของแต่ละราย

วันที่เผยแพร่: