如何在 cygwin 上应用 CVE-2014-6271 bash 漏洞的修复程序?
Raz*_*aza 8 security bash cygwin shellshock
我想了解如何在 cygwin 上应用此漏洞的修复程序。
我CYGWIN_NT-6.1 MYHOSTNAME 1.7.30(0.272/5/3) 2014-05-23 10:36 x86_64 Cygwin在 Windows 7 上运行cygwin。
#bash -version
GNU bash, version 4.1.11(2)-release (x86_64-unknown-cygwin)
Copyright (C) 2009 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>
$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test
我试过 apt-cyg 但它没有更新任何东西:
$ apt-cyg update bash
apt-cyg update bash
Working directory is /setup
Mirror is http://mirrors.kernel.org/sourceware/cygwin
--2014-09-25 09:24:14-- http://mirrors.kernel.org/sourceware/cygwin/x86_64/setup.bz2
Resolving mirrors.kernel.org (mirrors.kernel.org)... 149.20.4.71, 149.20.20.135, 2001:4f8:1:10:0:1994:3:14, ...
Connecting to mirrors.kernel.org (mirrors.kernel.org)|149.20.4.71|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 431820 (422K) [application/x-bzip2]
Saving to: ‘setup.bz2’
100% [======================================================================================>] 431,820 898KB/s in 0.5s
2014-09-25 09:24:14 (898 KB/s) - ‘setup.bz2’ saved [431820/431820]
Updated setup.ini
当尝试通过运行setup-x86_64.exe并通过向导重新安装 shell 下显示的重新安装 bash 来重新安装时,似乎开始下载所有内容。它应该是非常快速的更新,但它开始下载超过 15 分钟,然后我取消了它。我环顾了https://cygwin.com站点和其他论坛,但到目前为止还没有针对此漏洞的任何特定更新。
根据官方Cygwin 安装页面:
为 64 位版本的 Windows 安装和更新 Cygwin
每当您想要更新或安装适用于 64 位 Windows 的 Cygwin 软件包时,请运行 setup-x86_64.exe。setup-x86_64.exe 的签名可用于使用此公钥验证此二进制文件的有效性。
我有一种预感,这个 bash 会受到影响,所以在你发布你的问题之前大约 15 分钟,我按照设置页面的指示做了。
不需要第 3 方脚本。我相信这个过程对我来说是不同的,因为我没有在C:\Cygwin64\Downloads 安装实用程序扫描我当前安装的包中清除我的下载目录,我保留了默认值。因此,基本系统中的所有软件包都已更新。其中之一恰好是受 CVE-2014-6271 影响的 bash。您可以通过以下屏幕截图查看您受到保护的证据:
请注意,我不知道此更新是否可以防止已发现的其他漏洞,因此请在接下来的几天内按照上述步骤操作,直到完全修复此问题。