OS X Yosemite v10.10.2 és Security Update 2015-001

Címkék

Az Apple tegnap kiadta a címben látható szoftverfrissítéseit. Mivel velük több, itt a HUP-on is tárgyalt, súlyos biztonsági sebezhetőségre érkezik javítás, érdemes mielőbb frissíteni.

A javított biztonsági hibák listája megtalálható itt.

Hozzászólások

Itt miért nincs a
"ne aggódjatok hupuk, a hup.hu ezzel nem sebezhető

>FreeBSD"
típusú böfögés? :)

" bash

Available for: OS X Yosemite v10.10 and v10.10.1

Impact: Multiple vulnerabilities in bash, including one that may allow local attackers to execute arbitrary code

Description: Multiple vulnerabilities existed in bash. These issues were addressed by updating bash to patch level 57.

CVE-ID

CVE-2014-6277

CVE-2014-7186

CVE-2014-7187"

Úgy rémlett, hogy az Ubuntu-ban ezeket szeptember/október hónapban javították.

http://www.ubuntu.com/usn/usn-2380-1/
http://www.ubuntu.com/usn/usn-2364-1/

--
trey @ gépház

Abban a rakás szarban van annyi csemege, hogy felesleges habot fújni a tortára. Bizonyára nem néztél bele. A helyedben én se tenném, lenne miért pironkodni.

tl;dr

Köszönet a Google Security Team-nek itt is (helló Microsoft!), hogy a 108832343 csillió lyukból már csak néhánnyal kevesebb van.

--
trey @ gépház

>Hát úgy, hogy az a javítás más bash sebezhetőségeket javított

szerintem sok ember megelégszik azzal is hogy autószerelő és winpénztárgép karbantartó vagy, de ezen - mégoly' magas - szint fölött néha azért jó lenne a kötőszavakon és CVE URL-eken kívül mást is megérteni egy angol nyelvű szövegből

Description: An issue existed in Bash's parsing of environment variables. This issue was addressed through improved environment variable parsing by better detecting the end of the function statement.

mondjuk ez már a kiinduló cikk alatt is nehézségeket okozott, szóval végre összeülhetnétek batyuval egy jaszkari-meetup keretében kicsit elgondolkozni a világ dolgairól

Nehézségei mindenkinek vannak. Pl. van aki személyeskedés nélkül be tudja ismerni, hogy valamihez nem kellőképpen ért, van aki meg ezzel palástolja a hozzá nem értését, mert ugyebár nehéz dolog a beismerés. De toljad csak, hátha kijön belőle valami :D
szerk: óh, ezazz, újabb hupmeme szereplést már ért :D És nem is gondolnád, hogy mennyire igazad van a "(bármiféle fogalom nélkül)" megjegyzéssel, nem kellemetlen "fogalmatlan" embereknek osztani az észt a te magasságodból? :D

Mindenesetre laikusként még ide felírom magamnak, hogy majd később is emlékezzek rá:

https://raw.githubusercontent.com/hannob/bashcheck/master/bashcheck

OS X Bash Update 1.0

With the update installed:

  $ curl -s https://raw.githubusercontent.com/hannob/bashcheck/master/bashcheck | bash
  Not vulnerable to CVE-2014-6271 (original shellshock)
  Not vulnerable to CVE-2014-7169 (taviso bug)
  bash: line 18: 14885 Segmentation fault: 11  bash -c "true $(printf '<<EOF %.0s' {1..79})" 2> /dev/null
  Vulnerable to CVE-2014-7186 (redir_stack bug)
  Test for CVE-2014-7187 not reliable without address sanitizer
  Variable function parser inactive, likely safe from unknown parser bugs

https://lists.gnu.org/archive/html/bug-bash/2014-10/msg00031.html

Ne kelljen keresgélni...

--
trey @ gépház