Come applicare la correzione per CVE-2014-6271 bash vulnerabilità su cygwin?


8

Vorrei scoprire come posso applicare la correzione per questa vulnerabilità su Cygwin.

Sto eseguendo il CYGWIN_NT-6.1 MYHOSTNAME 1.7.30(0.272/5/3) 2014-05-23 10:36 x86_64 Cygwincygwin su Windows 7.

 #bash -version
 GNU bash, version 4.1.11(2)-release (x86_64-unknown-cygwin)
 Copyright (C) 2009 Free Software Foundation, Inc.
 License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>


 $ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
 env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
 vulnerable
 this is a test

Ho provato apt-cyg ma non ha aggiornato nulla:

    $ apt-cyg update bash
    apt-cyg update bash
    Working directory is /setup
    Mirror is http://mirrors.kernel.org/sourceware/cygwin
    --2014-09-25 09:24:14--          http://mirrors.kernel.org/sourceware/cygwin/x86_64/setup.bz2
    Resolving mirrors.kernel.org (mirrors.kernel.org)... 149.20.4.71, 149.20.20.135,         2001:4f8:1:10:0:1994:3:14, ...
    Connecting to mirrors.kernel.org (mirrors.kernel.org)|149.20.4.71|:80...         connected.
    HTTP request sent, awaiting response... 200 OK
    Length: 431820 (422K) [application/x-bzip2]
    Saving to: setup.bz2

    100%        [======================================================================================>]         431,820      898KB/s   in 0.5s

    2014-09-25 09:24:14 (898 KB/s) - setup.bz2 saved [431820/431820]

      Updated setup.ini

quando provi a reinstallare eseguendo setup-x86_64.exee andando attraverso la procedura guidata reinstalla bash che viene mostrato sotto shell, sembra che inizi a scaricare tutto. Dovrebbe essere un aggiornamento molto rapido ma inizia a scaricare per oltre 15 minuti, quindi l'ho annullato. Mi sono guardato attorno al https://cygwin.comsito e ad altri forum, ma finora non ho ricevuto aggiornamenti specifici per questa vulnerabilità.


1
Esegui setup-arch.exe proprio come la prima volta che lo hai installato. L'ho fatto prima oggi. Vedi questa pagina Cygwin
eyoung100,

@ eyoung100 Ha funzionato per te? Come hai notato, l'ho fatto e sembra che stesse scaricando tutto e che stava impiegando molto tempo. Tuttavia, ho selezionato solo bash dalla procedura guidata. Mi piace essere sicuro prima di sovrascrivere tutto
Raza,

Funziona, posso pubblicare uno screenshot per la prova, ma l'aggiornamento dovrebbe essere aggiornato alla versione 4.1.11 (5) - versione x86_64-unknown-cygwin
eyoung100

la tua parola è abbastanza buona :). Lo lascerò funzionare per ore per aggiornarlo.
Raza,

1
Quindi, quando eseguirai nuovamente l'installazione, scaricherai di nuovo le versioni più recenti di tutto ciò che hai eliminato. Finché non rimuovi la tua home directory virtuale, ecc, dovresti essere OK. C:\Cygwin64\Downloads` but not Vale a dire rimuovere C: \ Cygwin64`
eyoung100

Risposte:


6

Secondo la pagina ufficiale di installazione di Cygwin :

Installazione e aggiornamento di Cygwin per le versioni a 64 bit di Windows

Eseguire setup-x86_64.exe ogni volta che si desidera aggiornare o installare un pacchetto Cygwin per Windows a 64 bit. La firma per setup-x86_64.exe può essere utilizzata per verificare la validità di questo file binario utilizzando questa chiave pubblica.

Ho avuto il sospetto che questo bash fosse interessato, quindi circa 15 minuti prima di pubblicare la tua domanda ho fatto come indicato nella pagina di installazione.


Non è necessario uno script di terze parti. Credo che il processo sia andato diversamente per me perché non avevo ripulito la mia directory di download su C:\Cygwin64\Downloads L'utility di installazione Ho scansionato i miei pacchetti attualmente installati e ho lasciato da soli i valori predefiniti. Pertanto, tutti i pacchetti nel sistema di base sono stati aggiornati. Uno di questi è accaduto per essere il bash che è interessato dal CVE-2014-6271. Puoi vedere la prova che sei protetto dal seguente screenshot:

Bash aggiornato - Cygwin

Si prega di notare che non so se questo aggiornamento protegge dalle altre vulnerabilità che sono state scoperte, quindi si prega di seguire la procedura di cui sopra nei prossimi giorni fino a quando il problema non sarà completamente risolto.


2

Sembra la versione che ha patchato lo shellshock (soggetto ad altre varianti / patch di bug) per cygwin bash:

Data: lun, 29 set 2014 15:22:43 -0600

https://cygwin.com/ml/cygwin-announce/2014-09/msg00040.html

AKA: 4.1.14-7

"Questa è una ricostruzione minore che raccoglie una patch upstream per correggere CVE-2014-7169 e tutti gli altri attacchi ShellShock (4.1.13-6 era anche sicuro, ma usava una patch downstream leggermente diversa che usava '()' invece di ' %% 'nelle variabili di ambiente, che era eccessivamente restrittivo sull'importazione di funzioni il cui nome non era un identificatore. Sono ancora noti crasher del parser (come CVE-2014-7186, CVE-2014-7187 e CVE-2014-6277 ) dove l'upstream probabilmente emetterà presto delle patch, ma sebbene tali problemi possano innescare un arresto locale, non possono essere sfruttati per l'escalation dei privilegi tramite contenuti variabili arbitrari da parte di questa build. Se non viene riparata, una versione vulnerabile di bash potrebbe consentire l'esecuzione di codice arbitrario tramite appositamente ha creato variabili di ambiente ed è stato sfruttabile attraverso una serie di servizi remoti,quindi si consiglia vivamente di aggiornare ... "

Ho anche dovuto rimuovere la mia directory di download di cygwin prima di poter estrarre una versione più recente di bash tramite setup-x86_64.exe. :( Quindi verifica con "bash --version" per confermare il tuo livello di patch.

Tuttavia, potremmo non essere ancora fuori dal bosco ...

RIF: http://www.zdnet.com/the-shellshock-faq-heres-what-you-need-to-know-7000034219/

"CVE-2014-6277 e CVE-2014-6278: i ricercatori della sicurezza hanno scoperto altri due bug. Questi due bug dovrebbero avere il potenziale per l'inserimento di comandi arbitrari, simile al bug originale di Bash. Tuttavia i dettagli non sono ancora stati resi pubblici, per consentire la creazione di patch appropriate. "

CVE-2014-6277

Data di uscita originale: 27/09/2014

CVE-2014-6278

Data di uscita originale: 30/09/2014

Sospiro. Sembra che dobbiamo tenere d'occhio e continuare a patchare BASH ancora per un po '. Tuttavia, probabilmente stai molto meglio a (e dopo) bash 4.1.14-7 sotto cygwin.

Spero che aiuti.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.