Como aplicar a correção da vulnerabilidade bash CVE-2014-6271 no cygwin?

Gostaria de descobrir como aplico a correção para esta vulnerabilidade no cygwin.

Estou executando o CYGWIN_NT-6.1 MYHOSTNAME 1.7.30(0.272/5/3) 2014-05-23 10:36 x86_64 Cygwincygwin no Windows 7.

 #bash -version
 GNU bash, version 4.1.11(2)-release (x86_64-unknown-cygwin)
 Copyright (C) 2009 Free Software Foundation, Inc.
 License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>


 $ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
 env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
 vulnerable
 this is a test

Eu tentei o apt-cyg, mas não atualizou nada:

    $ apt-cyg update bash
    apt-cyg update bash
    Working directory is /setup
    Mirror is http://mirrors.kernel.org/sourceware/cygwin
    --2014-09-25 09:24:14--          http://mirrors.kernel.org/sourceware/cygwin/x86_64/setup.bz2
    Resolving mirrors.kernel.org (mirrors.kernel.org)... 149.20.4.71, 149.20.20.135,         2001:4f8:1:10:0:1994:3:14, ...
    Connecting to mirrors.kernel.org (mirrors.kernel.org)|149.20.4.71|:80...         connected.
    HTTP request sent, awaiting response... 200 OK
    Length: 431820 (422K) [application/x-bzip2]
    Saving to: ‘setup.bz2’

    100%        [======================================================================================>]         431,820      898KB/s   in 0.5s

    2014-09-25 09:24:14 (898 KB/s) - ‘setup.bz2’ saved [431820/431820]

      Updated setup.ini

ao tentar reinstalar executando setup-x86_64.exee passando pelo assistente para reinstalar o bash que está sendo exibido no shell, parece que você começa a baixar tudo. A atualização deve ser muito rápida, mas o download começa por mais de 15 minutos e eu a cancelei. Olhei em torno do https://cygwin.comsite e de outro fórum, mas até o momento não há nenhuma atualização específica para esta vulnerabilidade.

— Raza
fonte

Execute o setup-arch.exe da mesma maneira que o instalou. Eu fiz isso hoje cedo. Veja esta página do Cygwin

— eyoung100

@ eyoung100 Funcionou para você? Como você notou, eu fiz isso e parece que estava baixando tudo e demorando muito tempo. Embora eu tenha selecionado apenas bash no assistente. Eu gostaria de ter certeza antes de substituir tudo

— Raza

Ele faz o trabalho, eu posso postar uma imagem para a prova, mas a atualização deve render-lhe a versão 4.1.11 (5) - versão x86_64-unknown-cygwin

— eyoung100

sua palavra é boa o suficiente :). Vou deixá-lo funcionar por horas para atualizar isso.

— Raza

Então, quando você executar novamente a instalação, basta baixar novamente as versões mais recentes de tudo o que excluiu. Contanto que você não remova seu diretório pessoal virtual, etc, você deve estar bem. Ou seja, basta remover C:\Cygwin64\Downloads` but not C: \ Cygwin64`

— eyoung100

Respostas:

De acordo com a página de instalação oficial do Cygwin :

Instalando e atualizando o Cygwin para versões de 64 bits do Windows

Execute o setup-x86_64.exe sempre que desejar atualizar ou instalar um pacote Cygwin para janelas de 64 bits. A assinatura para setup-x86_64.exe pode ser usada para verificar a validade desse binário usando esta chave pública.

Tive um palpite sobre o qual este bash foi afetado; portanto, cerca de 15 minutos antes de você postar sua pergunta, eu o fiz conforme a página de configuração.

Não há necessidade de um script de terceiros. Acredito que o processo foi diferente para mim, porque eu não havia limpado meu Diretório de Download em C:\Cygwin64\Downloads O utilitário de configuração Examinou meus pacotes atualmente instalados e deixei os padrões em paz. Como tal, todos os pacotes no sistema base foram atualizados. Um deles foi o bash afetado pelo CVE-2014-6271. Você pode ver a prova de que está protegido pela seguinte captura de tela:

Bash atualizado - Cygwin

Observe que não sei se esta atualização protege contra outras vulnerabilidades que foram descobertas; portanto, siga o procedimento acima nos próximos dias até que esse problema seja completamente corrigido.

— eyoung100
fonte

Parece com a versão que corrigiu o shellshock (sujeito a outras variações / patches de bugs.) Para o cygwin bash:

Data: segunda-feira, 29 de setembro de 2014 15:22:43 -0600

https://cygwin.com/ml/cygwin-announce/2014-09/msg00040.html

AKA: 4.1.14-7

"Esta é uma pequena reconstrução que pega um patch upstream para corrigir o CVE-2014-7169 e todos os outros ataques ShellShock (4.1.13-6 também era seguro, mas usava um patch downstream ligeiramente diferente que usava '()' em vez de ' %% 'nas variáveis de ambiente e que eram excessivamente restritivas na importação de funções cujo nome não era um identificador). Ainda existem falhas de análise do analisador (como CVE-2014-7186, CVE-2014-7187 e CVE-2014-6277 ) onde o upstream provavelmente emitirá patches em breve; mas, embora esses problemas possam desencadear uma falha local, eles não podem ser explorados para escalação de privilégios por meio de conteúdo variável arbitrário por esta compilação.Deixada sem correção, uma versão vulnerável do bash pode permitir a execução arbitrária de código via especialmente variáveis de ambiente criadas e explorável por meio de vários serviços remotos,por isso, é altamente recomendável que você atualize ... "

Também tive que remover meu diretório de download do cygwin antes de poder obter uma versão mais recente do bash através do setup-x86_64.exe. :( Verifique com "bash --version" para confirmar o seu nível de patch.

No entanto, ainda não podemos estar fora de perigo ...

REF: http://www.zdnet.com/the-shellshock-faq-heres-what-you-need-to-know-7000034219/

"CVE-2014-6277 e CVE-2014-6278: Pesquisadores de segurança descobriram dois bugs adicionais. Esses dois bugs devem ter potencial para injeção arbitrária de comandos, semelhante ao bug Bash original. No entanto, os detalhes ainda não foram divulgados, para permitir a criação de patches apropriados ".

CVE-2014-6277

Data de lançamento original: 27/09/2014

CVE-2014-6278

Data de lançamento original: 30/09/2014

Suspiro. Parece que precisamos ficar de olho e manter o patch do BASH por mais algum tempo. No entanto, você provavelmente é muito melhor no (e depois) bash 4.1.14-7 no cygwin.

Espero que ajude.

— black123
fonte