เกี่ยวกับการอัปเดต OS X bash เวอร์ชั่น 1.0
เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของการอัปเดต OS X bash เวอร์ชั่น 1.0
การอัปเดตนี้สามารถดาวน์โหลดได้จากเว็บไซต์ Apple Support
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบแบบเต็มรูปแบบ และมีแพตช์หรือมีการเปิดตัวที่จำเป็นออกมาแล้ว หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่หน้าเว็บไซต์การรักษาความปลอดภัยของผลิตภัณฑ์ Apple
ดูข้อมูลเกี่ยวกับคีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple ได้ที่วิธีใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่ต่างๆ จะใช้ CVE ID ในการอ้างอิง หากทำได้
ดูเกี่ยวกับรายการอัปเดตความปลอดภัยอื่นๆ ได้ที่รายการอัปเดตความปลอดภัยของ Apple
การอัปเดต OS X bash เวอร์ชั่น 1.0
Bash
มีให้สำหรับ: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5
ผลกระทบ: ในการกำหนดค่าบางอย่าง ภัยคุกคามจากระยะไกลอาจสามารถนำคำสั่ง Shell มาใช้ได้โดยอำเภอใจ
คำอธิบาย: มีปัญหาในการแจกแจงตัวแปรสภาพแวดล้อมของ Bash ปัญหานี้แก้ไขได้ผ่านการปรับปรุงการแจกแจงตัวแปรสภาพแวดล้อมด้วยการตรวจหาการลงท้ายข้อความฟังก์ชันให้ดียิ่งขึ้น
การอัปเดตนี้ยังรวมอยู่ในการเปลี่ยนแปลง CVE-2014-7169 ที่แนะนำอีกด้วย ซึ่งจะรีเซ็ตสภาวะตัวแจงส่วน
นอกจากนี้ การอัปเดตยังเพิ่มเนมสเปซใหม่สำหรับฟังก์ชันที่ส่งออกด้วยการสร้างตัวตกแต่งฟังก์ชันเพื่อป้องกันส่วนหัวที่ไม่ได้ตั้งใจผ่านไปยัง Bash ชื่อของตัวแปรสภาพแวดล้อมทั้งหมดที่ให้คำจำกัดความของฟังก์ชันจะต้องมีคำเติมหน้าว่า "__BASH_FUNC<" และคำต่อท้าย ">()" เพื่อป้องกันฟังก์ชันที่ไม่ตั้งใจผ่านทางส่วนหัว HTTP
CVE-ID
CVE-2014-6271 : Stephane Chazelas
CVE-2014-7169 : Tavis Ormandy
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม