Debian DLA-63-1：bash 安全性更新

critical Nessus Plugin ID 82208

語系：

概要

遠端 Debian 主機缺少一個安全性更新。

說明

Tavis Ormandy 發現，為修正 CVE-2014-6271 而套用，並在 DSA-3032-1 中發佈提供 bash (GNU Bourne-Again Shell) 使用的修補程式不完整，仍可允許部分字元插入其他環境 (CVE-2014-7169)。透過此更新，含有 shell 函式之環境變數名稱的前置詞和後置詞將新增為增強措施。

此外，還修正了 bash 剖析器中的兩個超出邊界陣列存取，針對這些問題的 Red Hat 內部分析中揭示了該問題，Todd Sabin 亦另有報告。

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

解決方案

升級受影響的套件。

另請參閱

https://lists.debian.org/debian-lts-announce/2014/09/msg00020.html

https://packages.debian.org/source/squeeze-lts/bash

Plugin 詳細資訊

嚴重性: Critical

ID: 82208

檔案名稱: debian_DLA-63.nasl

版本: 1.14

類型: local

代理程式: unix

系列: Debian Local Security Checks

已發布: 2015/3/26

已更新: 2022/1/31

支援的感應器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

風險資訊

VPR

風險因素: Critical

分數: 9.0

CVSS v2

風險因素: Critical

基本分數: 10

時間分數: 7.8

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

弱點資訊

CPE: p-cpe:/a:debian:debian_linux:bash-static, cpe:/o:debian:debian_linux:6.0, p-cpe:/a:debian:debian_linux:bash-builtins, p-cpe:/a:debian:debian_linux:bash-doc, p-cpe:/a:debian:debian_linux:bash

必要的 KB 項目: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2014/9/25

CISA 已知遭惡意利用弱點到期日: 2022/7/28

參考資訊

CVE: CVE-2014-7169

BID: 70137