Article ID: 123006, created on Sep 26, 2014, last review on Sep 26, 2014

  • Applies to:
  • Operations Automation
  • Plesk for Linux/Unix
  • Virtuozzo
  • Virtuozzo containers for Linux
  • Virtuozzo hypervisor

Informazione

Il team dedicato alla sicurezza di Red Hat ha annunciato una vulnerabilità per Bash il 24 settembre 2014. Per maggiori informazioni sul report CVE-2014-6271 fare clic sul link.

Le ricerche sull'impatto di sicurezza e i vettori di attacco sono pubblicati sul Blog di sicurezza di Red Hat.

Le correzioni della versione di bash sono pubblicate dai produttori di sistemi operativi sotto:

Anche se questa vulnerabilità non è nei prodotti Parallels, si consiglia fortemente di installare l'aggiornamento perché è possibile sfruttare il sistema sul network.

Risoluzione

  1. Per verificare se il sistema è vulnerabile, eseguire il seguente comando:

    ~# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
    

    Se il sistema è vulnerabile, l'output è:

    vulnerable
    this is a test
    

    Se il sistema non è vulnerabile, l'output è:

    bash: Avviso:x: ignoring function definition attempt
    bash: error importing function definition for `x'
    this is a test
    
  2. Per riparare una versione vulnerabile, seguire le istruzioni per l'installazione di aggiornamenti dalle pubblicazioni dei produttori di sistemi operativi.
    Nota: Si consiglia fortemente di riavviare il sistema dopo l'installazione dell'aggiornamento!

  3. Gli elementi di sistema interessati e le possibili soluzioni per l'ulteriore problema di sicurezza CVE-2014-7169 sono descritti nell'articolo di Red Hat Bash Code Injection Vulnerability via Specially Crafted Environment Variables (CVE-2014-6271).

Informazioni aggiuntive

Red Hat ha constatato che la patch per CVE-2014-6271 è incompleta. Un autore di attacchi può fornire variabili di ambienti appositamente create contenenti comandi casuali che verranno eseguiti sui sistemi vulnerabili sotto determinate condizioni. Il nuovo problema riceve il nome CVE-2014-7169. Red Hat sta lavorando alle correzioni in congiunzione agli sviluppatori alle origini del problema quale priorità critica.

e0aff7830fa22f92062ee4db78133079 caea8340e2d186a540518d08602aa065 198398b282069eaf2d94a6af87dcb3ff 614fd0b754f34d5efe9627f2057b8642 5356b422f65bdad1c3e9edca5d74a1ae 400e18f6ede9f8be5575a475d2d6b0a6 a914db3fdc7a53ddcfd1b2db8f5a1b9c 56797cefb1efc9130f7c48a7d1db0f0c 29d1e90fd304f01e6420fbe60f66f838 a26b38f94253cdfbf1028d72cf3a498b 2897d76d56d2010f4e3a28f864d69223 e8e50b42231236b82df27684e7ec0beb d02f9caf3e11b191a38179103495106f 0dd5b9380c7d4884d77587f3eb0fa8ef

Email subscription for changes to this article
Save as PDF