Làm cách nào để áp dụng bản sửa lỗi cho lỗ hổng bash CVE-2014-6271 trên cygwin?

Tôi muốn tìm hiểu làm thế nào để tôi áp dụng bản sửa lỗi cho lỗ hổng này trên cygwin.

Tôi đang chạy CYGWIN_NT-6.1 MYHOSTNAME 1.7.30(0.272/5/3) 2014-05-23 10:36 x86_64 CygwinCygwin trên Windows 7.

 #bash -version
 GNU bash, version 4.1.11(2)-release (x86_64-unknown-cygwin)
 Copyright (C) 2009 Free Software Foundation, Inc.
 License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>


 $ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
 env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
 vulnerable
 this is a test

Tôi đã thử apt-cyg nhưng nó không cập nhật gì cả:

    $ apt-cyg update bash
    apt-cyg update bash
    Working directory is /setup
    Mirror is http://mirrors.kernel.org/sourceware/cygwin
    --2014-09-25 09:24:14--          http://mirrors.kernel.org/sourceware/cygwin/x86_64/setup.bz2
    Resolving mirrors.kernel.org (mirrors.kernel.org)... 149.20.4.71, 149.20.20.135,         2001:4f8:1:10:0:1994:3:14, ...
    Connecting to mirrors.kernel.org (mirrors.kernel.org)|149.20.4.71|:80...         connected.
    HTTP request sent, awaiting response... 200 OK
    Length: 431820 (422K) [application/x-bzip2]
    Saving to: ‘setup.bz2’

    100%        [======================================================================================>]         431,820      898KB/s   in 0.5s

    2014-09-25 09:24:14 (898 KB/s) - ‘setup.bz2’ saved [431820/431820]

      Updated setup.ini

Khi cố gắng cài đặt lại bằng cách chạy setup-x86_64.exevà đi qua trình hướng dẫn cài đặt lại bash đang hiển thị dưới vỏ, có vẻ như bắt đầu tải xuống mọi thứ. Nó sẽ được cập nhật rất nhanh nhưng nó bắt đầu tải xuống trong hơn 15 phút sau đó tôi đã hủy nó. Tôi đã xem xung quanh https://cygwin.comtrang web và diễn đàn khác nhưng cho đến nay không có bất kỳ cập nhật cụ thể nào cho lỗ hổng này.

— Raza
nguồn

Chạy setup-arch.exe giống như lần đầu tiên bạn cài đặt nó. Tôi đã làm nó sớm hơn ngày hôm nay. Xem trang Cygwin này

— eyoung100

@ eyoung100 Nó có hiệu quả với bạn không? Như bạn nhận thấy tôi đã làm điều đó và có vẻ như nó đang tải xuống mọi thứ và mất rất nhiều thời gian. Mặc dù, tôi chỉ chọn bash từ trình hướng dẫn. Tôi muốn đảm bảo trước khi ghi đè lên mọi thứ

— Raza

Nó không làm việc, tôi có thể gửi ảnh chụp màn hình cho bằng chứng, nhưng bản cập nhật nên net bạn phiên bản 4.1.11 (5) - phát hành x86_64-biết-Cygwin

— eyoung100

bạn từ là đủ tốt :). Tôi sẽ để nó chạy hàng giờ để cập nhật điều này.

— Raza

Sau đó, khi bạn chạy lại thiết lập, bạn sẽ chỉ tải xuống lại các phiên bản mới hơn của mọi thứ bạn đã xóa. Miễn là bạn không xóa thư mục nhà ảo của mình, v.v. bạn sẽ ổn thôi. Tức là chỉ cần xóa C:\Cygwin64\Downloads` but not C: \ Cygwin64`

— eyoung100

Câu trả lời:

Theo trang cài đặt Cygwin chính thức :

Cài đặt và cập nhật Cygwin cho các phiên bản Windows 64 bit

Chạy setup-x86_64.exe bất cứ khi nào bạn muốn cập nhật hoặc cài đặt gói Cygwin cho các cửa sổ 64 bit. Chữ ký cho setup-x86_64.exe có thể được sử dụng để xác minh tính hợp lệ của tệp nhị phân này bằng khóa chung này.

Tôi có linh cảm bash này bị ảnh hưởng, vì vậy khoảng 15 phút trước khi bạn đăng câu hỏi của mình, tôi đã làm như trang cài đặt đã hướng dẫn.

Không cần có Tập lệnh của bên thứ 3. Tôi tin rằng quy trình đã khác với tôi vì tôi đã không dọn sạch Danh mục tải xuống của mình tại C:\Cygwin64\Downloads Tiện ích thiết lập Quét các gói hiện đang cài đặt của tôi và tôi để mặc định một mình. Như vậy, tất cả các gói trong hệ thống cơ sở đã được cập nhật. Một trong những điều này đã xảy ra là bash bị ảnh hưởng bởi CVE-2014-6271. Bạn có thể thấy bằng chứng rằng bạn được bảo vệ bởi ảnh chụp màn hình sau:

Cập nhật Bash - Cygwin

Xin lưu ý rằng tôi không biết liệu bản cập nhật này có bảo vệ chống lại các lỗ hổng khác đã được phát hiện hay không, vì vậy vui lòng thực hiện theo quy trình trên trong vài ngày tới cho đến khi vấn đề này được khắc phục hoàn toàn.

— Eyoung100
nguồn

Đây trông giống như phiên bản đã vá shellshock (Theo các biến thể / bản vá lỗi khác.) Cho cygwin bash:

Ngày: Thứ Hai, ngày 29 tháng 9 năm 2014 15:22:43 -0600

https://cygwin.com/ml/cygwin-announce/2014-09/msg00040.html

AKA: 4.1,14-7

"Đây là một bản dựng lại nhỏ nhặt một bản vá ngược dòng để sửa CVE-2014-7169 và tất cả các cuộc tấn công ShellShock khác (4.1.13-6 cũng an toàn, nhưng đã sử dụng một bản vá xuôi dòng hơi khác sử dụng '()' thay vì ' %% 'trong các biến môi trường và bị hạn chế quá mức khi nhập các hàm có tên không phải là định danh). Vẫn có các trình phân tích cú pháp trình phân tích cú pháp (như CVE-2014-7186, CVE-2014-7187 và CVE-2014-6277 ) trong đó thượng nguồn có thể sẽ sớm phát hành các bản vá, nhưng trong khi các vấn đề đó có thể gây ra sự cố cục bộ, chúng không thể được khai thác để leo thang đặc quyền thông qua nội dung biến tùy ý bởi bản dựng này. Không thể sao chép, một phiên bản bash dễ bị tổn thương có thể cho phép thực thi mã tùy ý thông qua đặc biệt chế tạo các biến môi trường và có thể khai thác thông qua một số dịch vụ từ xa,vì vậy chúng tôi khuyên bạn nên nâng cấp ... "

Tôi cũng đã phải xóa thư mục tải xuống cygwin của mình trước khi tôi có thể kéo phiên bản bash mới hơn thông qua setup-x86_64.exe. :( Vì vậy, xác minh bằng "bash --version" để xác nhận mức độ bản vá của bạn.

Tuy nhiên, chúng tôi có thể chưa ra khỏi rừng ...

REF: http://www.zdnet.com/the-shellshock-faq-heres-what-you-need-to-ledge-7000034219/

"CVE-2014-6277 & CVE-2014-6278: Các nhà nghiên cứu bảo mật đã phát hiện ra hai lỗi bổ sung. Hai lỗi này được cho là có khả năng tiêm lệnh tùy ý, tương tự như lỗi Bash ban đầu. Tuy nhiên, chi tiết vẫn chưa được công khai, để cho phép các bản vá thích hợp được tạo ra. "

CVE-2014-6277

Ngày phát hành gốc: 27/9/2014

CVE-2014-6278

Ngày phát hành gốc: 30/9/2014

Thở dài. Có vẻ như chúng ta cần phải chú ý và tiếp tục vá BASH lâu hơn một chút. Tuy nhiên, bạn có khả năng tốt hơn nhiều (và sau) bash 4.1,14-7 theo cygwin.

Mong rằng sẽ giúp.

— đen123
nguồn