Ich möchte herausfinden, wie ich das Update für diese Sicherheitsanfälligkeit auf Cygwin anwende.
Ich verwende CYGWIN_NT-6.1 MYHOSTNAME 1.7.30(0.272/5/3) 2014-05-23 10:36 x86_64 Cygwin
Cygwin unter Windows 7.
#bash -version
GNU bash, version 4.1.11(2)-release (x86_64-unknown-cygwin)
Copyright (C) 2009 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>
$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test
Ich habe apt-cyg ausprobiert, aber es wurde nichts aktualisiert:
$ apt-cyg update bash
apt-cyg update bash
Working directory is /setup
Mirror is http://mirrors.kernel.org/sourceware/cygwin
--2014-09-25 09:24:14-- http://mirrors.kernel.org/sourceware/cygwin/x86_64/setup.bz2
Resolving mirrors.kernel.org (mirrors.kernel.org)... 149.20.4.71, 149.20.20.135, 2001:4f8:1:10:0:1994:3:14, ...
Connecting to mirrors.kernel.org (mirrors.kernel.org)|149.20.4.71|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 431820 (422K) [application/x-bzip2]
Saving to: ‘setup.bz2’
100% [======================================================================================>] 431,820 898KB/s in 0.5s
2014-09-25 09:24:14 (898 KB/s) - ‘setup.bz2’ saved [431820/431820]
Updated setup.ini
Wenn Sie versuchen, eine Neuinstallation durchzuführen, indem Sie den setup-x86_64.exe
Assistenten ausführen und den unter der Shell angezeigten Bash neu installieren, scheint es, als würden Sie anfangen, alles herunterzuladen. Es sollte ein sehr schnelles Update sein, aber es wird über 15 Minuten lang heruntergeladen, dann habe ich es abgebrochen. Ich habe mich auf der https://cygwin.com
Website und in anderen Foren umgesehen, aber bisher kein spezifisches Update für diese Sicherheitsanfälligkeit.
quelle
C:\Cygwin64\Downloads` but not
Dh einfach C: \ Cygwin64` entfernenAntworten:
Gemäß der offiziellen Cygwin-Installationsseite :
Ich hatte eine Ahnung, von der diese Bash betroffen war, also habe ich sie ungefähr 15 Minuten bevor Sie Ihre Frage gepostet haben, wie auf der Setup-Seite angegeben.
Es ist kein Skript eines Drittanbieters erforderlich. Ich glaube, der Prozess verlief für mich anders, da ich mein Download-Verzeichnis unter
C:\Cygwin64\Downloads
Das Setup-Dienstprogramm nicht bereinigt hatte. Ich habe meine aktuell installierten Pakete gescannt und die Standardeinstellungen in Ruhe gelassen. Daher wurden alle Pakete im Basissystem aktualisiert. Eine davon war zufällig die Bash, die vom CVE-2014-6271 betroffen ist. Sie können den Beweis sehen, dass Sie durch den folgenden Screenshot geschützt sind:Bitte beachten Sie, dass ich nicht weiß, ob dieses Update vor den anderen entdeckten Sicherheitslücken schützt. Befolgen Sie daher in den nächsten Tagen das oben beschriebene Verfahren, bis dieses Problem vollständig behoben ist.
quelle
Dies sieht aus wie die Version, die Shellshock (vorbehaltlich anderer Fehlervarianten / Patches) für Cygwin Bash gepatcht hat:
Datum: Montag, 29. September 2014, 15:22:43 -0600
https://cygwin.com/ml/cygwin-announce/2014-09/msg00040.html
AKA: 4.1.14-7
"Dies ist eine kleinere Neuerstellung, bei der ein Upstream-Patch zur Behebung von CVE-2014-7169 und allen anderen ShellShock-Angriffen verwendet wird (4.1.13-6 war ebenfalls sicher, verwendete jedoch einen etwas anderen Downstream-Patch, der '()' anstelle von 'verwendete. %% 'in Umgebungsvariablen, die den Import von Funktionen, deren Name kein Bezeichner war, zu stark einschränkten. Es sind noch Parser-Crasher bekannt (z. B. CVE-2014-7186, CVE-2014-7187 und CVE-2014-6277) ) wo Upstream wahrscheinlich bald Patches herausgeben wird, aber während diese Probleme einen lokalen Absturz auslösen können, können sie von diesem Build nicht für die Eskalation von Berechtigungen über beliebige Variableninhalte ausgenutzt werden. Ungepatcht könnte eine anfällige Version von bash die Ausführung von beliebigem Code über speziell ermöglichen gestaltete Umgebungsvariablen und war durch eine Reihe von Remote-Diensten ausnutzbar,Es wird daher dringend empfohlen, ein Upgrade durchzuführen ... "
Ich musste auch mein Cygwin-Download-Verzeichnis entfernen, bevor ich eine neuere Version von Bash über das Setup-x86_64.exe abrufen konnte. :( Überprüfen Sie dies mit "bash --version", um Ihr Patch-Level zu bestätigen.
Wir sind jedoch möglicherweise noch nicht aus dem Wald ...
REF: http://www.zdnet.com/the-shellshock-faq-heres-what-you-need-to-know-7000034219/
"CVE-2014-6277 & CVE-2014-6278: Sicherheitsforscher haben zwei zusätzliche Fehler entdeckt. Diese beiden Fehler sollen das Potenzial für eine willkürliche Befehlsinjektion haben, ähnlich dem ursprünglichen Bash-Fehler. Details wurden jedoch noch nicht veröffentlicht. damit entsprechende Patches erstellt werden können. "
CVE-2014-6277
Ursprüngliches Erscheinungsdatum: 27.09.2014
CVE-2014-6278
Ursprüngliches Erscheinungsdatum: 30.09.2014
Seufzer. Sieht so aus, als müssten wir ein gutes Auge auf uns haben und BASH noch ein bisschen länger patchen. Allerdings sind Sie wahrscheinlich viel besser in (und nach) Bash 4.1.14-7 unter Cygwin.
Ich hoffe, das hilft.
quelle