検出

Mandriva Linux セキュリティアドバイザリ:bash(MDVSA-2014:190)

critical Nessus プラグイン ID 77950

Language:

概要

リモート Mandriva Linux ホストには、1 つ以上のセキュリティ更新がありません。

説明

CVE-2014-6271 の修正は不完全であることが判明しましたが、それでも Bash では、特別に細工された環境変数で、特定の文字を他の環境に注入することを許容していました。攻撃者がこの欠陥を利用して、環境制限をオーバーライドまたはバイパスし、シェルコマンドを実行する可能性があります。特定のサービスやアプリケーションにより、認証されていないリモートの攻撃者が環境変数を提供させて、この問題を悪用する可能性があります(CVE-2014-7169、CVE-2014-7186、CVE-2014-7187)。

さらに、bash が ftp://ftp.gnu.org/gnu/bash/bash-4.2-patches/ にある Upstream パッチを使用して、パッチレベル 37 から 48 に更新され、これで多様なバグを解決しました。

ソリューション

影響を受ける bash および/または bash-doc パッケージを更新してください。

参考資料

https://access.redhat.com/errata/RHSA-2014:1306

https://access.redhat.com/errata/RHSA-2014:1311

プラグインの詳細

深刻度: Critical

ID: 77950

ファイル名: mandriva_MDVSA-2014-190.nasl

バージョン: 1.13

タイプ: local

公開日: 2014/9/29

更新日: 2022/1/31

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: High

スコア: 7.4

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 7.8

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

脆弱性情報

CPE: p-cpe:/a:mandriva:linux:bash, p-cpe:/a:mandriva:linux:bash-doc, cpe:/o:mandriva:business_server:1

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2014/9/26

CISA の既知の悪用された脆弱性の期限日: 2022/7/28

参照情報

CVE: CVE-2014-7169, CVE-2014-7186, CVE-2014-7187

BID: 70137

IAVA: 2014-A-0142

MDVSA: 2014:190