Система Awareness Национальный Cyber:
TA14-268A: GNU Bourne Again Shell (Bash) «Контузия» Уязвимость (CVE-2014-6271, CVE-2014-7169)
09/25/2014 12:56 вечера EDT

Исходная дата выпуска: 25 сентября 2014
системы Затронутые
• GNU Bash через 4.3.
• Распределение Linux, BSD и UNIX, включая, но не ограничиваясь ими:
о CentOS 5 по 7
о Debian
о Mac OS X
о Red Hat Enterprise Linux 4 по 7
O Ubuntu 10.04 LTS, 12.04 LTS и 14.04 LTS
обзор
Критическая уязвимость сообщается в GNU Bourne Again Shell (Bash), оболочки общей командной строки, используемых в большинстве операционных систем Linux / UNIX и Apple, Mac OS X. Дефект может позволить злоумышленнику удаленно выполнять команды оболочки путем присоединения злонамеренного код в переменных среды, используемый операционной системой [1]. США Министерство внутренней безопасности (DHS) выпускает это техническое оповещение, чтобы предоставить дополнительную информацию об уязвимости GNU Bash.
Описание
версии ГНУ Bash 1.14 через 4.3 содержит недостаток, который обрабатывает команды, помещенные после определения функции в добавленной переменной среды, что позволяет удаленному злоумышленнику выполнить произвольный код с помощью созданного среды, которая позволяет сети на основе эксплуатации. [2, 3]
Критические случаи, когда уязвимость может подвергаться воздействию, включают: [4, 5]
• HTTP-сервер Apache с помощью mod_cgi или mod_cgid скрипты пишутся либо на баш, или икру подоболочки.
• Override или функция обхода ForceCommand в OpenSSH Sshd и ограниченная защита Гаденыша и Subversion развертывание используется для ограничения оболочки и позволяет произвольные возможности выполнения команды.
• Разрешить произвольные команды для запуска на компьютере клиента DHCP, различные Демон и SUID / привилегированные программах.
• Exploit серверов и другие устройства, Unix и Linux с помощью веб-запросов, защищенной оболочки, Telnet сессий или других программ, которые используют Bash для выполнения скриптов.
Влияние
Эта уязвимость классифицируются по промышленным стандартам, как «High» соударение с CVSS Impact подшкал 10 и «Low» на сложностях, что означает, что она занимает мало навыков для выполнения. Этот недостаток позволяет злоумышленникам предоставить специально созданные переменные среды, содержащие произвольные команды, которые могут выполняться на уязвимых системах. Это особенно опасно из-за преобладающего использования Баш оболочки и ее способность назвать приложением во многих отношениях.
Решение
Патчи были выпущены для устранения этой уязвимости основных поставщиками Linux для уязвимых версий. Решения для CVE-2014-6271 не полностью устранить уязвимость. Рекомендуется установить существующие патчи и обратить внимание на обновленные патчи для решения CVE-2014-7169.
Многие UNIX-подобные операционные системы, в том числе дистрибутивов, вариант BSD, и Apple Mac OS X включают Bash и, вероятно, будет затронуто. Обратитесь к поставщику для получения обновленной информации. Список поставщиков можно найти в CERT Уязвимость Примечание VU # 252743 [6].
US-CERT рекомендует системным администраторам просматривать патчи поставщика и сводки уязвимостей NIST для CVE-2014-7169, в целях уменьшения ущерба подвигом.
Рекомендации
• Ars Technica, ошибка в Bash оболочки создает большую дыру в безопасности на что-либо с * Никс в нем;
• DHS НКУР; Краткое описание уязвимости для CVE-2014-6271
• DHS НКУР; Краткое описание уязвимости для CVE-2014-7169
• Red Hat, CVE-2014-6271
• Red Hat, Bash специально созданных переменных окружения код инъекции атаки
• CERT уязвимость Примечание VU # 252743
лист регистраций изменений
• 25 сентября 2014 - Первый выпуск