Bagaimana cara menerapkan perbaikan untuk kerentanan bash CVE-2014-6271 di cygwin?

Saya ingin mengetahui bagaimana cara menerapkan perbaikan untuk kerentanan ini pada cygwin.

Saya menjalankan CYGWIN_NT-6.1 MYHOSTNAME 1.7.30(0.272/5/3) 2014-05-23 10:36 x86_64 Cygwincygwin di Windows 7.

 #bash -version
 GNU bash, version 4.1.11(2)-release (x86_64-unknown-cygwin)
 Copyright (C) 2009 Free Software Foundation, Inc.
 License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>


 $ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
 env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
 vulnerable
 this is a test

Saya mencoba apt-cyg tetapi tidak memperbarui apa pun:

    $ apt-cyg update bash
    apt-cyg update bash
    Working directory is /setup
    Mirror is http://mirrors.kernel.org/sourceware/cygwin
    --2014-09-25 09:24:14--          http://mirrors.kernel.org/sourceware/cygwin/x86_64/setup.bz2
    Resolving mirrors.kernel.org (mirrors.kernel.org)... 149.20.4.71, 149.20.20.135,         2001:4f8:1:10:0:1994:3:14, ...
    Connecting to mirrors.kernel.org (mirrors.kernel.org)|149.20.4.71|:80...         connected.
    HTTP request sent, awaiting response... 200 OK
    Length: 431820 (422K) [application/x-bzip2]
    Saving to: ‘setup.bz2’

    100%        [======================================================================================>]         431,820      898KB/s   in 0.5s

    2014-09-25 09:24:14 (898 KB/s) - ‘setup.bz2’ saved [431820/431820]

      Updated setup.ini

ketika mencoba menginstal ulang dengan menjalankan setup-x86_64.exedan melalui wisaya menginstal ulang bash yang ditampilkan di bawah shell, sepertinya mulai mengunduh semuanya. Itu seharusnya pembaruan yang sangat cepat tetapi mulai mengunduh selama lebih dari 15 menit kemudian saya membatalkannya. Saya melihat-lihat https://cygwin.comsitus dan forum lain tetapi sejauh ini tidak ada pembaruan khusus untuk kerentanan ini.

— Raza
sumber

Jalankan setup-arch.exe sama seperti pertama kali Anda menginstalnya. Saya melakukannya sebelumnya hari ini. Lihat halaman Cygwin ini

— eyoung100

@ eyoung100 Apakah itu berhasil untuk Anda? Seperti yang Anda perhatikan, saya melakukan itu dan sepertinya mengunduh semuanya dan butuh waktu lama. Meskipun, saya hanya memilih bash dari wizard. Saya ingin memastikan sebelum menimpa semuanya

— Raza

Tidak berfungsi, saya dapat memposting tangkapan layar sebagai bukti, tetapi pembaruan harus menjaring Anda versi 4.1.11 (5) - rilis x86_64-unknown-cygwin

— eyoung100

kata Anda cukup baik :). Saya akan membiarkannya berjalan selama berjam-jam untuk memperbarui ini.

— Raza

Kemudian ketika Anda menjalankan kembali pengaturan, Anda hanya akan mengunduh ulang versi terbaru dari semua yang Anda hapus. Selama Anda tidak menghapus direktori home virtual Anda, dll Anda harusnya OK. Yaitu hanya Hapus C:\Cygwin64\Downloads` but not C: \ Cygwin64`

— eyoung100

Jawaban:

Sesuai dengan Halaman Instalasi Cygwin resmi :

Menginstal dan Memperbarui Cygwin untuk Windows versi 64-bit

Jalankan setup-x86_64.exe kapan saja Anda ingin memperbarui atau menginstal paket Cygwin untuk windows 64-bit. Tanda tangan untuk setup-x86_64.exe dapat digunakan untuk memverifikasi validitas biner ini menggunakan kunci publik ini.

Saya mempunyai firasat bahwa bash ini terpengaruh, jadi sekitar 15 menit sebelum Anda memposting pertanyaan Anda saya lakukan seperti yang diinstruksikan oleh halaman pengaturan.

Tidak perlu untuk Script Pihak ke-3. Saya percaya prosesnya berjalan berbeda bagi saya karena saya belum membersihkan Direktori Unduhan saya di C:\Cygwin64\Downloads Utilitas pengaturan Memindai paket yang saya instal saat ini, dan saya membiarkan default-nya saja. Dengan demikian, semua paket dalam sistem dasar diperbarui. Salah satunya adalah bash yang dipengaruhi oleh CVE-2014-6271. Anda dapat melihat bukti bahwa Anda dilindungi oleh tangkapan layar berikut:

Diperbarui Bash - Cygwin

Harap perhatikan bahwa saya tidak tahu apakah pembaruan ini melindungi terhadap kerentanan lain yang telah ditemukan, jadi harap ikuti prosedur di atas beberapa hari berikutnya hingga masalah ini benar-benar diperbaiki.

— eyoung100
sumber

Ini terlihat seperti versi yang menambal shellshock (Tergantung variasi bug / tambalan lainnya.) Untuk cygwin bash:

Tanggal: Senin, 29 Sep 2014 15:22:43 -0600

https://cygwin.com/ml/cygwin-announce/2014-09/msg00040.html

AKA: 4.1.14-7

"Ini adalah pembangunan kembali minor yang mengambil patch upstream untuk memperbaiki CVE-2014-7169 dan semua serangan ShellShock lainnya (4.1.13-6 juga aman, tetapi menggunakan patch hilir yang sedikit berbeda yang menggunakan '()' bukan ' %% 'dalam variabel lingkungan, dan yang terlalu ketat pada fungsi impor yang namanya bukan pengidentifikasi). Masih ada parser crashers (seperti CVE-2014-7186, CVE-2014-7187, dan CVE-2014-6277 ) di mana upstream mungkin akan mengeluarkan tambalan segera, tetapi sementara masalah-masalah itu dapat memicu crash lokal, mereka tidak dapat dieksploitasi untuk eskalasi hak istimewa melalui konten variabel yang berubah-ubah oleh bangunan ini. variabel lingkungan dibuat, dan dieksploitasi melalui sejumlah layanan jarak jauh,jadi sangat disarankan untuk meningkatkan ... "

Saya juga harus menghapus direktori unduh cygwin saya sebelum saya dapat menarik versi bash yang lebih baru melalui setup-x86_64.exe. :( Jadi verifikasi dengan "bash --version" untuk mengonfirmasi tingkat patch Anda.

Namun, kita mungkin belum keluar dari hutan ...

REF: http://www.zdnet.com/the-shellshock-faq-heres-what-you-need-to-know-7000034219/

"CVE-2014-6277 & CVE-2014-6278: Peneliti keamanan menemukan dua bug tambahan. Kedua bug ini diduga memiliki potensi untuk injeksi perintah sewenang-wenang, mirip dengan bug Bash asli. Namun rinciannya belum dipublikasikan," untuk memungkinkan tambalan yang tepat untuk dibuat. "

CVE-2014-6277

Tanggal rilis asli: 09/27/2014

CVE-2014-6278

Tanggal rilis asli: 09/30/2014

Mendesah. Sepertinya kita harus terus mengawasi dan menambal BASH sedikit lebih lama. Namun Anda mungkin jauh lebih baik di (dan setelah) bash 4.1.14-7 di bawah cygwin.

Semoga itu bisa membantu.

— black123
sumber