Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

CERT-SE växer. Vi har två jobbannonser ute just nu: Sök till Systemadministratör eller Övningsansvarig senast 18 augusti.

Uppdaterad | Publicerad - Blixtmeddelande

BM14-001 - Allvarlig sårbarhet i bash

En allvarlig sårbarhet har upptäckts i Unix-skalet bash.

CVE-2014-6271

Sårbarheten kan utnyttjas till att köra godtycklig kod på ett sårbart system.

Det finns indikationer på att sårbarheten redan utnyttjas genom en mask.

Problembeskrivning

Unix-skalet bash har stöd för att exportera miljövariabler och även funktioner till andra bash-instanser. Nuvarande bash-versioner använder en miljövariabel som namnges av funktionen och en funktionsdefinition som startar med "() {" i variabelvärdet.

Sårbarheten orsakas av att bash inte stoppar efter att ha processat den icke namngivna funktionsdefinitionen utan fortsätter att köra kommandon som anges efter funktionen.

För tillfället finns det en rättning som endast delvis åtgärdar problemet.


För att se om bash är sårbart kan man köra följande kommando:

$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Vid en sårbar installation ges följande svar:

vulnerable
this is a test


Åtgärder

För att skydda sig så bör kan man använda någon form av applikationsbrandvägg (WAF) som filtrerar indata till applikationen.

CERT-SE kommer kontinuerligt att uppdatera informationen på vår webbplats.


För mer information om sårbara applikationer, uppdateringar, sårbarheten med mera:
https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environment-variables-code-injection-attack/
http://seclists.org/oss-sec/2014/q3/649
http://seclists.org/oss-sec/2014/q3/650
https://www.cert.se/2014/09/det-borjar-bli-dags-for-linux-adminstratorer-att-uppdatera-bash

Uppdateringar

Redhat, Ubuntu och Debian har publicerat rättningar till både CVE-2104-6271 och CVE-2014-7169.
Debian https://security-tracker.debian.org/tracker/source-package/bash
Ubuntu http://www.ubuntu.com/usn/usn-2363-1/
RedHat https://rhn.redhat.com/errata/RHSA-2014-1306.html