Security Lab

Компрометация системы в GNU Bash

Дата публикации:03.10.2014
Всего просмотров:1736
Опасность:
Высокая
Наличие исправления: Инстуркции по устранению
Количество уязвимостей:2
CVSSv2 рейтинг: 8.7 (AV:N/AC:L/Au:S/C:P/I:C/A:C/E:ND/RL:ND/RC:C)
8.7 (AV:N/AC:L/Au:S/C:P/I:C/A:C/E:ND/RL:ND/RC:C)
CVE ID: CVE-2014-6277
CVE-2014-6278
Вектор эксплуатации: Удаленная
Воздействие: Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: GNU Bash 3.x
GNU bash 4.x
Уязвимые версии: GNU Bash 4.3 и более ранние версии

Описание:
Уязвимости позволяют удаленному пользователю скомпрометировать целевую систему.

1. Уязвимость существует из-за ошибки при обработке кода сценариев. Удаленный пользователь может с помощью специально сформированного массива данных выполнить произвольный код на целевой системе.

2. Уязвимость существует из-за ошибки при обработке переменных окружения. Удаленный пользователь может с помощью специально сформированного массива данных выполнить произвольный код на целевой системе.

URL производителя: http://www.gnu.org/software/bash/

Решение: Установите исправление с сайта производителя.

Ссылки: http://ftp.gnu.org/gnu/bash/bash-4.3-patches/bash43-027
http://lcamtuf.blogspot.com/2014/09/bash-bug-apply-unofficial-patch-now.html
http://lcamtuf.blogspot.com/2014/10/bash-bug-how-we-finally-cracked.html