哪些 Debian 补丁修复了 shellshock lcamt​​uf CVE-2014-6277 和 CVE-2014-6278?

tag-icon tag-icon bash debian security shellshock
哪些 Debian 补丁修复了 shellshock lcamt​​uf CVE-2014-6277 和 CVE-2014-6278?

注意这个问题肯定是不是的副本:shellshock (CVE-2014-6271/7169) 错误是什么时候引入的?完全修复该错误的补丁是什么?

根据:

https://security-tracker.debian.org/tracker/CVE-2014-6277

CVE-2014-6277 已在 wheezy(安全)中通过 bash 软件包修复:4.2+dfsg-0.1+deb7u3

然而,如果我在具有该 Bash 版本的 Debian 系统上运行 bash shell 脚本来测试六种不同的 shellshock 漏洞利用4.2+dfsg-0.1+deb7u3,我得到这个输出:

Testing /bin/bash ...
GNU bash, version 4.2.37(1)-release (x86_64-pc-linux-gnu)

Not vulnerable to CVE-2014-6271 (original shellshock)
Not vulnerable to CVE-2014-7169 (taviso bug)
Not vulnerable to CVE-2014-7186 (redir_stack bug)
Test for CVE-2014-7187 not reliable without address sanitizer
Vulnerable to CVE-2014-6277 (lcamtuf bug #1) [no patch]
Vulnerable to CVE-2014-6278 (lcamtuf bug #2) [prefix/()-suffix]
Variable function parser inactive, likely safe from unknown parser bugs

shell 脚本在这里(运行风险自负,但看起来合法):

https://github.com/hannob/bashcheck/blob/master/bashcheck

IRC 上的人们也报告了其他报告未修复的 shellshock 相关漏洞的脚本...

这里有两种可能性:要么脚本错误地将 6277 和 6278 报告为仍然容易受到攻击,要么https://security-tracker.debian.org/tracker/CVE-2014-6277是错误的(在我写这篇文章的时候)。

是哪一个?

哪个 Debian 补丁可以修复 6277 和 6278?

答案1

Debian 对 wheezy(-security) 版本应用了各种补丁bash,这也防止了 CVE-2014-6277 和 CVE-2014-6278 被利用。

https://github.com/hannob/bashcheck/blob/master/README.md如何解释你的结果。

我在 Debian 上的(可能更新的)bashcheck 脚本的输出是:

Testing /bin/bash ...
GNU bash, Version 4.2.37(1)-release (x86_64-pc-linux-gnu)

Variable function parser pre/suffixed [(), redhat], bugs not explitable
Not vulnerable to CVE-2014-6271 (original shellshock)
Not vulnerable to CVE-2014-7169 (taviso bug)
Not vulnerable to CVE-2014-7186 (redir_stack bug)
Test for CVE-2014-7187 not reliable without address sanitizer
Found non-exploitable CVE-2014-6277 (lcamtuf bug #1)
Found non-exploitable CVE-2014-6278 (lcamtuf bug #2)

安全版本的(缩短的)变更日志deb7u3

bash (4.2+dfsg-0.1+deb7u3) wheezy-security; urgency=high

  * Add variables-affix.patch patch.
    Apply patch from Florian Weimer to add prefix and suffix for environment
    variable names which contain shell functions.
  * Add parser-oob.patch patch.
    Fixes two out-of-bound array accesses in the bash parser.

bash (4.2+dfsg-0.1+deb7u2) wheezy-security; urgency=high

  * Add CVE-2014-7169.diff diff.
    CVE-2014-7169: Incomplete fix for CVE-2014-6271. (Closes: #762760, #762761)

bash (4.2+dfsg-0.1+deb7u1) wheezy-security; urgency=high

  * Apply patch from Chet Ramey to fix CVE-2014-6271.

相关内容