Бреши в оболочке вызваны наличием ошибок в реализации кода разбора функций.
Как сообщают исследователи безопасности в блоге lcamtuf's blog , ими были найдены четыре уязвимости в командной оболочке Bash, вызванные наличием ошибок в реализации кода разбора функций. Эти бреши были выявлены после опубликованного дополнительного вектора атаки, позволяющего проэксплуатировать уязвимость на пропатченных системах, передает Ars Technica.
По прогнозам аналитиков издания, далеко не все существующие Shellshock уязвимости были найдены. Администраторам систем рекомендуется проводить проверки на устойчивость к атакам Shellshock при помощи специального скрипта . Кроме того, для брешей CVE-2014-7186 и CVE-2014-7187 доступны исправления , подготовленные обнаружившим их исследователем безопасности из Red Hat Флорианом Ваймером (Florian Weimer).
Вместе с тем, для уязвимостей CVE-2014-6277 и CVE-2014-6278, обнаруженных сотрудником Google Михалом Залевским (Michal Zalewski), исправления безопасности недоступны. Подробности брешей также не раскрываются; узнать больше можно будет после выхода официального обновления.