Informationen zum OS X Bash Update 1,0
In diesem Dokument wird der Sicherheitsinhalt des OS X Bash Updates 1.0 beschrieben.
Dieses Update kann auf der Apple Support-Website heruntergeladen werden.
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit findest du auf der Website zur Apple-Produktsicherheit.
Informationen zum Apple-PGP-Schlüssel für die Produktsicherheit findest du unter Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit.
Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.
Informationen zu weiteren Sicherheitsupdates findest du unter Apple-Sicherheitsupdates.
OS X Bash Update 1.0
Bash
Verfügbar für: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5
Auswirkung: In bestimmten Konfigurationen kann ein entfernter Angreifer möglicherweise willkürliche Shell-Befehle ausführen
Beschreibung: Es bestand ein Problem beim Analysieren von Umgebungsvariablen in Bash. Dieses Problem wurde durch eine verbesserte Analyse der Umgebungsvariablen behoben, indem das Ende der Funktionsanweisung besser erkannt wird.
Dieses Update beinhaltet auch die vorgeschlagene Änderung CVE-2014-7169, die den Parserstatus zurücksetzt.
Darüber hinaus wurde durch dieses Update ein neuer Namespace für exportierte Funktionen hinzugefügt, indem ein Funktionsdekorator erstellt wurde, um unbeabsichtigten Header-Passthrough zu Bash zu verhindern. Die Namen aller Umgebungsvariablen, die Funktionsdefinitionen einführen, müssen ein Präfix „__BASH_FUNC<“ und das Suffix „>()“ haben, um zu verhindern, dass eine unbeabsichtigte Funktion über HTTP-Header übergeben wird.
CVE-ID
CVE-2014-6271 : Stephane Chazelas
CVE-2014-7169 : Tavis Ormandy
Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.