Saya ingin mengetahui bagaimana cara menerapkan perbaikan untuk kerentanan ini pada cygwin.
Saya menjalankan CYGWIN_NT-6.1 MYHOSTNAME 1.7.30(0.272/5/3) 2014-05-23 10:36 x86_64 Cygwin
cygwin di Windows 7.
#bash -version
GNU bash, version 4.1.11(2)-release (x86_64-unknown-cygwin)
Copyright (C) 2009 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>
$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test
Saya mencoba apt-cyg tetapi tidak memperbarui apa pun:
$ apt-cyg update bash
apt-cyg update bash
Working directory is /setup
Mirror is http://mirrors.kernel.org/sourceware/cygwin
--2014-09-25 09:24:14-- http://mirrors.kernel.org/sourceware/cygwin/x86_64/setup.bz2
Resolving mirrors.kernel.org (mirrors.kernel.org)... 149.20.4.71, 149.20.20.135, 2001:4f8:1:10:0:1994:3:14, ...
Connecting to mirrors.kernel.org (mirrors.kernel.org)|149.20.4.71|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 431820 (422K) [application/x-bzip2]
Saving to: ‘setup.bz2’
100% [======================================================================================>] 431,820 898KB/s in 0.5s
2014-09-25 09:24:14 (898 KB/s) - ‘setup.bz2’ saved [431820/431820]
Updated setup.ini
ketika mencoba menginstal ulang dengan menjalankan setup-x86_64.exe
dan melalui wisaya menginstal ulang bash yang ditampilkan di bawah shell, sepertinya mulai mengunduh semuanya. Itu seharusnya pembaruan yang sangat cepat tetapi mulai mengunduh selama lebih dari 15 menit kemudian saya membatalkannya. Saya melihat-lihat https://cygwin.com
situs dan forum lain tetapi sejauh ini tidak ada pembaruan khusus untuk kerentanan ini.
bash
security
cygwin
shellshock
Raza
sumber
sumber
C:\Cygwin64\Downloads` but not
C: \ Cygwin64`Jawaban:
Sesuai dengan Halaman Instalasi Cygwin resmi :
Saya mempunyai firasat bahwa bash ini terpengaruh, jadi sekitar 15 menit sebelum Anda memposting pertanyaan Anda saya lakukan seperti yang diinstruksikan oleh halaman pengaturan.
Tidak perlu untuk Script Pihak ke-3. Saya percaya prosesnya berjalan berbeda bagi saya karena saya belum membersihkan Direktori Unduhan saya di
C:\Cygwin64\Downloads
Utilitas pengaturan Memindai paket yang saya instal saat ini, dan saya membiarkan default-nya saja. Dengan demikian, semua paket dalam sistem dasar diperbarui. Salah satunya adalah bash yang dipengaruhi oleh CVE-2014-6271. Anda dapat melihat bukti bahwa Anda dilindungi oleh tangkapan layar berikut:Harap perhatikan bahwa saya tidak tahu apakah pembaruan ini melindungi terhadap kerentanan lain yang telah ditemukan, jadi harap ikuti prosedur di atas beberapa hari berikutnya hingga masalah ini benar-benar diperbaiki.
sumber
Ini terlihat seperti versi yang menambal shellshock (Tergantung variasi bug / tambalan lainnya.) Untuk cygwin bash:
Tanggal: Senin, 29 Sep 2014 15:22:43 -0600
https://cygwin.com/ml/cygwin-announce/2014-09/msg00040.html
AKA: 4.1.14-7
"Ini adalah pembangunan kembali minor yang mengambil patch upstream untuk memperbaiki CVE-2014-7169 dan semua serangan ShellShock lainnya (4.1.13-6 juga aman, tetapi menggunakan patch hilir yang sedikit berbeda yang menggunakan '()' bukan ' %% 'dalam variabel lingkungan, dan yang terlalu ketat pada fungsi impor yang namanya bukan pengidentifikasi). Masih ada parser crashers (seperti CVE-2014-7186, CVE-2014-7187, dan CVE-2014-6277 ) di mana upstream mungkin akan mengeluarkan tambalan segera, tetapi sementara masalah-masalah itu dapat memicu crash lokal, mereka tidak dapat dieksploitasi untuk eskalasi hak istimewa melalui konten variabel yang berubah-ubah oleh bangunan ini. variabel lingkungan dibuat, dan dieksploitasi melalui sejumlah layanan jarak jauh,jadi sangat disarankan untuk meningkatkan ... "
Saya juga harus menghapus direktori unduh cygwin saya sebelum saya dapat menarik versi bash yang lebih baru melalui setup-x86_64.exe. :( Jadi verifikasi dengan "bash --version" untuk mengonfirmasi tingkat patch Anda.
Namun, kita mungkin belum keluar dari hutan ...
REF: http://www.zdnet.com/the-shellshock-faq-heres-what-you-need-to-know-7000034219/
"CVE-2014-6277 & CVE-2014-6278: Peneliti keamanan menemukan dua bug tambahan. Kedua bug ini diduga memiliki potensi untuk injeksi perintah sewenang-wenang, mirip dengan bug Bash asli. Namun rinciannya belum dipublikasikan," untuk memungkinkan tambalan yang tepat untuk dibuat. "
CVE-2014-6277
Tanggal rilis asli: 09/27/2014
CVE-2014-6278
Tanggal rilis asli: 09/30/2014
Mendesah. Sepertinya kita harus terus mengawasi dan menambal BASH sedikit lebih lama. Namun Anda mungkin jauh lebih baik di (dan setelah) bash 4.1.14-7 di bawah cygwin.
Semoga itu bisa membantu.
sumber