Shellshock er seks sårbarheder

Artiklen blev oprindeligt publiceret den 2/10/2014

Sikkerhedsforskere kender nu seks sårbarheder i Bash. De er kendt under navnet Shellshock.

De første to har fået CVE-numrene (Common Vulnerabilities and Exposures) CVE-2014-6271 og CVE-2014-7169. Den første er den oprindelige sårbarhed, der gør det muligt at afvikle kommandoer ved at lægge dem ind i miljøvariable, som derefter behandles af Bash.

Den anden opstod, fordi rettelsen af den første ikke var komplet.

Siden har man opdaget CVE-2014-7186, der kan få systemet til at gå ned via en fejl i en funktion til omdirigering.

CVE-2014-7187 giver også mulighed for at få systemet til at gå ned. Det er en off-by-one-fejl.

CVE-2014-6277 er den tredje variant af den oprindelige sårbarhed. Den opstod på grund af en mangelfuld rettelse af de første to sårbarheder.

Endelig er der CVE-2014-6278, som igen retter den oprindelige sårbarhed, da de første tre rettelser ikke var fuldstændige.

Anbefaling
Administratorer af systemer med Bash bør tjekke, at de har installeret alle relevante opdateringer.

Links