Comment appliquer le correctif de la vulnérabilité bash CVE-2014-6271 sur cygwin?


8

Je voudrais savoir comment appliquer le correctif de cette vulnérabilité sur cygwin.

Je courais le CYGWIN_NT-6.1 MYHOSTNAME 1.7.30(0.272/5/3) 2014-05-23 10:36 x86_64 Cygwinde Cygwin sur Windows 7.

 #bash -version
 GNU bash, version 4.1.11(2)-release (x86_64-unknown-cygwin)
 Copyright (C) 2009 Free Software Foundation, Inc.
 License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>


 $ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
 env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
 vulnerable
 this is a test

J'ai essayé apt-cyg mais il n'a rien mis à jour:

    $ apt-cyg update bash
    apt-cyg update bash
    Working directory is /setup
    Mirror is http://mirrors.kernel.org/sourceware/cygwin
    --2014-09-25 09:24:14--          http://mirrors.kernel.org/sourceware/cygwin/x86_64/setup.bz2
    Resolving mirrors.kernel.org (mirrors.kernel.org)... 149.20.4.71, 149.20.20.135,         2001:4f8:1:10:0:1994:3:14, ...
    Connecting to mirrors.kernel.org (mirrors.kernel.org)|149.20.4.71|:80...         connected.
    HTTP request sent, awaiting response... 200 OK
    Length: 431820 (422K) [application/x-bzip2]
    Saving to: setup.bz2

    100%        [======================================================================================>]         431,820      898KB/s   in 0.5s

    2014-09-25 09:24:14 (898 KB/s) - setup.bz2 saved [431820/431820]

      Updated setup.ini

lorsque vous essayez de réinstaller en exécutant setup-x86_64.exeet en passant par l'assistant de réinstallation bash qui s'affiche sous le shell, il semble que vous commenciez à tout télécharger. La mise à jour devrait être très rapide, mais le téléchargement commence pendant plus de 15 minutes, puis je l'ai annulée. J'ai regardé autour du https://cygwin.comsite et des autres forums mais jusqu'à présent, aucune mise à jour spécifique pour cette vulnérabilité.


1
Exécutez setup-arch.exe comme la première fois que vous l'avez installé. Je l'ai fait plus tôt dans la journée. Voir cette page Cygwin
eyoung100

@ eyoung100 Cela a-t-il fonctionné pour vous? Comme vous l'avez remarqué, je l'ai fait et il semble qu'il téléchargeait tout et prenait beaucoup de temps. Cependant, je n'ai sélectionné que bash dans l'assistant. J'aime m'assurer avant d'écraser tout
Raza

Cela fonctionne, je peux poster une capture d'écran pour preuve, mais la mise à jour devrait vous indiquer la version 4.1.11 (5) - version x86_64-unknown-cygwin
eyoung100

ta parole est assez bonne :). Je vais le laisser fonctionner pendant des heures pour le mettre à jour.
Raza

1
Ensuite, lorsque vous réexécutez le programme d'installation, vous n'aurez plus qu'à télécharger les nouvelles versions de tout ce que vous avez supprimé. Tant que vous ne supprimez pas votre répertoire personnel virtuel, etc., vous devriez être OK. C'est-à-dire simplement supprimer C:\Cygwin64\Downloads` but not C: \ Cygwin64`
eyoung100

Réponses:


6

Selon la page d'installation officielle de Cygwin :

Installation et mise à jour de Cygwin pour les versions 64 bits de Windows

Exécutez setup-x86_64.exe chaque fois que vous souhaitez mettre à jour ou installer un package Cygwin pour les fenêtres 64 bits. La signature de setup-x86_64.exe peut être utilisée pour vérifier la validité de ce binaire à l'aide de cette clé publique.

J'ai eu une intuition à laquelle ce bash a été affecté, donc environ 15 minutes avant de poster votre question, je l'ai fait comme indiqué sur la page de configuration.


Aucun script tiers n'est nécessaire. Je crois que le processus est allé différent pour moi parce que je n'avais pas nettoyé mon répertoire de téléchargement à l' C:\Cygwin64\Downloads utilitaire d'installation J'ai analysé mes packages actuellement installés et j'ai laissé les paramètres par défaut seuls. Ainsi, tous les packages du système de base ont été mis à jour. L'un d'entre eux se trouvait être le coup bas qui est affecté par le CVE-2014-6271. Vous pouvez voir la preuve que vous êtes protégé par la capture d'écran suivante:

Bash mis à jour - Cygwin

Veuillez noter que je ne sais pas si cette mise à jour protège contre les autres vulnérabilités qui ont été découvertes, veuillez donc suivre la procédure ci-dessus les prochains jours jusqu'à ce que ce problème soit complètement résolu.


2

Cela ressemble à la version qui a corrigé shellshock (sous réserve d'autres variations / correctifs de bogues.) Pour cygwin bash:

Date: lun.29 sept. 2014 15:22:43 -0600

https://cygwin.com/ml/cygwin-announce/2014-09/msg00040.html

Alias: 4.1.14-7

"Il s'agit d'une reconstruction mineure qui récupère un correctif en amont pour corriger CVE-2014-7169 et toutes les autres attaques ShellShock (4.1.13-6 était également sûr, mais utilisait un correctif en aval légèrement différent qui utilisait '()' au lieu de ' %% 'dans les variables d'environnement, et qui était trop restrictif sur l'importation de fonctions dont le nom n'était pas un identifiant). Il existe encore des crashs d'analyseurs connus (tels que CVE-2014-7186, CVE-2014-7187 et CVE-2014-6277 ) où l'amont émettra probablement des correctifs bientôt; mais bien que ces problèmes puissent déclencher un crash local, ils ne peuvent pas être exploités pour une escalade de privilèges via le contenu de variables arbitraires par cette construction. Sans correction, une version vulnérable de bash pourrait permettre l'exécution de code arbitraire via spécialement variables d'environnement conçues et était exploitable à travers un certain nombre de services à distance,il est donc fortement recommandé de mettre à niveau ... "

J'ai également dû supprimer mon répertoire de téléchargement cygwin avant de pouvoir extraire une version plus récente de bash via setup-x86_64.exe. :( Alors vérifiez avec "bash --version" pour confirmer votre niveau de patch.

Cependant, nous ne sommes peut-être pas encore sortis du bois ...

REF: http://www.zdnet.com/the-shellshock-faq-heres-what-you-need-to-know-7000034219/

"CVE-2014-6277 & CVE-2014-6278: les chercheurs en sécurité ont découvert deux bogues supplémentaires. Ces deux bogues sont censés avoir le potentiel d'injection de commande arbitraire, similaire au bogue Bash d'origine. Cependant, les détails n'ont pas encore été rendus publics, afin de permettre la création de correctifs appropriés. "

CVE-2014-6277

Date de sortie initiale: 27/09/2014

CVE-2014-6278

Date de sortie initiale: 30/09/2014

Soupir. Il semble que nous devons garder un œil attentif et continuer à patcher BASH un peu plus longtemps. Cependant, vous êtes probablement beaucoup mieux à (et après) bash 4.1.14-7 sous cygwin.

J'espère que cela pourra aider.

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.