Исходное сообщение
"Критическая уязвимость в bash, которая может привести к удал..." Отправлено opennews, 24-Сен-14 20:49
В командном интерпретаторе Bash выявлена (https://securityblog.redhat.com/2014/09/24/bash-specially-cr.../) опасная уязвимость (CVE-2014-6271), позволяющая организовать выполнение кода в контексте другого сеанса bash. Проблема вызвана недоработкой в организации экспорта переменных окружения и shell-функций  в другие экземпляры bash, что приводит к выполнению блоков кода из специально оформленных переменных окружения, полученных от других процессов. Во многих типовых конфигурация уязвимость может быть эксплуатирована по сети, если bash указан в качестве системного shell-интерпретатора. В том числе могут быть атакованы CGI-скрипты и конфигурации OpenSSH. Текущие версии bash используют переменные окружения в том числе для экспорта функций, при этом если в переменной содержит "() {", то её содержимое воспринимается как функция. Из-за ошибки, после завершения тела функции, обработка продолжается и после символа "}". Если после функции указана команда, то bash выполнит и её (например, "VAR=() { ignored; }; /bin/id"). В случае с OpenSSH атака может быть проведена (http://www.openwall.com/lists/oss-security/2014/09/24/12) через подстановку  переменной окружения SSH_ORIGINAL_COMMAND: <font color="#461b7e">    ssh -o 'rsaauthentication yes' 0 '() { ignored; }; /usr/bin/id' </font> Выполнив указанную команду в переменную окружения будет скопирована в том числе строка '() { ignored; }; /usr/bin/id', которая инициирует выполнение пустой функции и запуск команды /usr/bin/id на стороне удалённой системы. Аналогичные атаки могут быть проведены через переменную окружения TERM или при запуске CGI-скриптов через переменную REMOTE_USER. Для устранения проблемы подготовлена (http://www.openwall.com/lists/oss-security/2014/09/24/11) серия патчей. Обновления пакетов с bash уже выпущены для Debian (https://lists.debian.org/debian-security-announce/2014/msg00...), Ubuntu (http://www.ubuntu.com/usn/usn-2362-1/), RHEL (https://access.redhat.com/articles/1200223), CentOS (http://lists.centos.org/pipermail/centos-announce/2014-Septe...). Оценить появление обновлений для других систем можно на следующих страницах:  Fedora (https://admin.fedoraproject.org/updates/F20), openSUSE (http://lists.opensuse.org/opensuse-security-announce/), SLES (https://www.suse.com/support/update/),  Slackware (http://www.slackware.com/security/list.php?l=slackware-secur...), Gentoo (http://www.gentoo.org/security/en/index.xml), OpenBSD (http://www.openbsd.org/security.html), NetBSD (http://www.netbsd.org/support/security/), FreeBSD (http://www.vuxml.org/freebsd/). URL: http://www.openwall.com/lists/oss-security/2014/09/24/10 Новость: https://www.opennet.ru/opennews/art.shtml?num=40667