Wie wende ich das Update für die Bash-Sicherheitsanfälligkeit CVE-2014-6271 auf Cygwin an?

8

Ich möchte herausfinden, wie ich das Update für diese Sicherheitsanfälligkeit auf Cygwin anwende.

Ich verwende CYGWIN_NT-6.1 MYHOSTNAME 1.7.30(0.272/5/3) 2014-05-23 10:36 x86_64 CygwinCygwin unter Windows 7.

 #bash -version
 GNU bash, version 4.1.11(2)-release (x86_64-unknown-cygwin)
 Copyright (C) 2009 Free Software Foundation, Inc.
 License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>


 $ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
 env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
 vulnerable
 this is a test

Ich habe apt-cyg ausprobiert, aber es wurde nichts aktualisiert:

    $ apt-cyg update bash
    apt-cyg update bash
    Working directory is /setup
    Mirror is http://mirrors.kernel.org/sourceware/cygwin
    --2014-09-25 09:24:14--          http://mirrors.kernel.org/sourceware/cygwin/x86_64/setup.bz2
    Resolving mirrors.kernel.org (mirrors.kernel.org)... 149.20.4.71, 149.20.20.135,         2001:4f8:1:10:0:1994:3:14, ...
    Connecting to mirrors.kernel.org (mirrors.kernel.org)|149.20.4.71|:80...         connected.
    HTTP request sent, awaiting response... 200 OK
    Length: 431820 (422K) [application/x-bzip2]
    Saving to: setup.bz2

    100%        [======================================================================================>]         431,820      898KB/s   in 0.5s

    2014-09-25 09:24:14 (898 KB/s) - setup.bz2 saved [431820/431820]

      Updated setup.ini

Wenn Sie versuchen, eine Neuinstallation durchzuführen, indem Sie den setup-x86_64.exeAssistenten ausführen und den unter der Shell angezeigten Bash neu installieren, scheint es, als würden Sie anfangen, alles herunterzuladen. Es sollte ein sehr schnelles Update sein, aber es wird über 15 Minuten lang heruntergeladen, dann habe ich es abgebrochen. Ich habe mich auf der https://cygwin.comWebsite und in anderen Foren umgesehen, aber bisher kein spezifisches Update für diese Sicherheitsanfälligkeit.

Raza
quelle
1
Führen Sie setup-arch.exe wie bei der ersten Installation aus. Ich habe es heute früher gemacht. Siehe diese Cygwin Seite
eyoung100
@ eyoung100 Hat es bei dir funktioniert? Wie Sie bemerkt haben, habe ich das getan und es scheint, dass es alles heruntergeladen hat und sehr lange gedauert hat. Obwohl ich nur Bash aus dem Assistenten ausgewählt habe. Ich möchte sicherstellen, bevor ich alles überschreibe
Raza
Es funktioniert, ich kann einen Screenshot zum Beweis posten, aber das Update sollte Sie Version 4.1.11 (5) - Release x86_64-unknown-cygwin
eyoung100
Ihr Wort ist gut genug :). Ich werde es stundenlang laufen lassen, um dies zu aktualisieren.
Raza
1
Wenn Sie dann das Setup erneut ausführen, laden Sie einfach die neueren Versionen von allem, was Sie gelöscht haben, erneut herunter. Solange Sie Ihr virtuelles Home-Verzeichnis usw. nicht entfernen, sollten Sie in Ordnung sein. C:\Cygwin64\Downloads` but not Dh einfach C: \ Cygwin64` entfernen
eyoung100

Antworten:

6

Gemäß der offiziellen Cygwin-Installationsseite :

Installieren und Aktualisieren von Cygwin für 64-Bit-Versionen von Windows

Führen Sie setup-x86_64.exe jedes Mal aus, wenn Sie ein Cygwin-Paket für 64-Bit-Fenster aktualisieren oder installieren möchten. Die Signatur für setup-x86_64.exe kann verwendet werden, um die Gültigkeit dieser Binärdatei mithilfe dieses öffentlichen Schlüssels zu überprüfen.

Ich hatte eine Ahnung, von der diese Bash betroffen war, also habe ich sie ungefähr 15 Minuten bevor Sie Ihre Frage gepostet haben, wie auf der Setup-Seite angegeben.


Es ist kein Skript eines Drittanbieters erforderlich. Ich glaube, der Prozess verlief für mich anders, da ich mein Download-Verzeichnis unter C:\Cygwin64\Downloads Das Setup-Dienstprogramm nicht bereinigt hatte. Ich habe meine aktuell installierten Pakete gescannt und die Standardeinstellungen in Ruhe gelassen. Daher wurden alle Pakete im Basissystem aktualisiert. Eine davon war zufällig die Bash, die vom CVE-2014-6271 betroffen ist. Sie können den Beweis sehen, dass Sie durch den folgenden Screenshot geschützt sind:

Bash - Cygwin aktualisiert

Bitte beachten Sie, dass ich nicht weiß, ob dieses Update vor den anderen entdeckten Sicherheitslücken schützt. Befolgen Sie daher in den nächsten Tagen das oben beschriebene Verfahren, bis dieses Problem vollständig behoben ist.

eyoung100
quelle
2

Dies sieht aus wie die Version, die Shellshock (vorbehaltlich anderer Fehlervarianten / Patches) für Cygwin Bash gepatcht hat:

Datum: Montag, 29. September 2014, 15:22:43 -0600

https://cygwin.com/ml/cygwin-announce/2014-09/msg00040.html

AKA: 4.1.14-7

"Dies ist eine kleinere Neuerstellung, bei der ein Upstream-Patch zur Behebung von CVE-2014-7169 und allen anderen ShellShock-Angriffen verwendet wird (4.1.13-6 war ebenfalls sicher, verwendete jedoch einen etwas anderen Downstream-Patch, der '()' anstelle von 'verwendete. %% 'in Umgebungsvariablen, die den Import von Funktionen, deren Name kein Bezeichner war, zu stark einschränkten. Es sind noch Parser-Crasher bekannt (z. B. CVE-2014-7186, CVE-2014-7187 und CVE-2014-6277) ) wo Upstream wahrscheinlich bald Patches herausgeben wird, aber während diese Probleme einen lokalen Absturz auslösen können, können sie von diesem Build nicht für die Eskalation von Berechtigungen über beliebige Variableninhalte ausgenutzt werden. Ungepatcht könnte eine anfällige Version von bash die Ausführung von beliebigem Code über speziell ermöglichen gestaltete Umgebungsvariablen und war durch eine Reihe von Remote-Diensten ausnutzbar,Es wird daher dringend empfohlen, ein Upgrade durchzuführen ... "

Ich musste auch mein Cygwin-Download-Verzeichnis entfernen, bevor ich eine neuere Version von Bash über das Setup-x86_64.exe abrufen konnte. :( Überprüfen Sie dies mit "bash --version", um Ihr Patch-Level zu bestätigen.

Wir sind jedoch möglicherweise noch nicht aus dem Wald ...

REF: http://www.zdnet.com/the-shellshock-faq-heres-what-you-need-to-know-7000034219/

"CVE-2014-6277 & CVE-2014-6278: Sicherheitsforscher haben zwei zusätzliche Fehler entdeckt. Diese beiden Fehler sollen das Potenzial für eine willkürliche Befehlsinjektion haben, ähnlich dem ursprünglichen Bash-Fehler. Details wurden jedoch noch nicht veröffentlicht. damit entsprechende Patches erstellt werden können. "

CVE-2014-6277

Ursprüngliches Erscheinungsdatum: 27.09.2014

CVE-2014-6278

Ursprüngliches Erscheinungsdatum: 30.09.2014

Seufzer. Sieht so aus, als müssten wir ein gutes Auge auf uns haben und BASH noch ein bisschen länger patchen. Allerdings sind Sie wahrscheinlich viel besser in (und nach) Bash 4.1.14-7 unter Cygwin.

Ich hoffe, das hilft.

schwarz123
quelle