Консультативный ID Васко-са-20140930-баш
Номер ревизии 1,0
Дата выпуска 30 сентября 2014 г., 12:00 UTC + 1
Последнее обновление 17 октября 2014 г., 12:00 UTC + 1
Резюме
24 сентября 2014 года фонд GNU публично объявил об уязвимости в оболочке GNU Bash. Bash - это оболочка Unix, разработанная в рамках проекта GNU в качестве замены оболочки Bourne (sh). Он широко распространен как часть операционной системы GNU и является оболочкой по умолчанию для Linux и OS X. Уязвимость обычно называется уязвимостью «shellshock».
Многие интернет-демоны, включая telnet, SSH и веб-серверы, вызывают оболочку Bash. Оболочка Bash использует переменные среды для передачи информации в порожденные ею процессы. Уязвимость позволяет злоумышленнику вводить произвольные команды в оболочку Bash с помощью специально созданных переменных среды.
Конкретное влияние уязвимости зависит от процесса, использующего оболочку Bash. В худшем случае удаленный злоумышленник, не прошедший проверку подлинности, сможет выполнить команды на уязвимом сервере.
Затронутые продукты
Следующие продукты и услуги OneSpan подвержены этой уязвимости:
- aXsGUARD Gatekeeper (все версии)
- Сервер федерации IDENTIKEY (версии 1.3, 1.4 и 1.5)
- MYDIGIPASS.COM
Описание
Оболочка Bash использует переменные среды для передачи информации в порожденные ею процессы. Переменные среды могут использоваться для хранения определений функций. Такие переменные среды начинаются с «() {» и обычно заканчиваются на «};».
Однако Bash выполняет любой код в переменной окружения после определения функции. Это позволяет злоумышленнику создать определение функции, такое как:
FUNCT = () {игнорировать; }; эхо снарядов
Это может привести к выполнению кода «echo shellshock», когда Bash обрабатывает свои переменные окружения.
Влияние этой уязвимости на продукты OneSpan варьируется в зависимости от уязвимого продукта и характера его использования.
Этой уязвимости были присвоены идентификаторы общих уязвимостей и уязвимостей (CVE) CVE-2014-6271 и CVE-2014-7169.
Оценка серьезности
В приведенных ниже таблицах указан показатель уязвимости CVSS 2.0.
1. Векторы атаки, которые не требуют аутентификации
| Базовая оценка CVSS: 7,5 | |||||
| Вектор доступа | Сложность доступа |
Аутентификация |
Влияние на конфиденциальность | Влияние целостности | Влияние доступности |
| сеть | Низкий | Никто | частичный | частичный | частичный |
| CVSS Temporal Score: 7.1 | ||
| уязвимостей | Уровень исправления | Сообщить об Уверенности |
| функциональная | Не определен | подтвердил |
2. Векторы атаки, требующие аутентификации
| Базовая оценка CVSS: 6,5 | |||||
| Вектор доступа | Сложность доступа | Аутентификация | Влияние на конфиденциальность | Влияние целостности | Влияние доступности |
| сеть | Низкий | Один | частичный | частичный | частичный |
| CVSS Temporal Score: 6,2 | ||
| уязвимостей | Уровень исправления | Сообщить об Уверенности |
| функциональная | Не определен | подтвердил |
Исправления продукта
OneSpan исправил следующие продукты:
- aXsGUARD Gatekeeper 7.6.5, 7.7.0, 7.7.1, 7.7.2 и 7.7.3
OneSpan пропатчил следующий сервис:
- MYDIGIPASS.COM
OneSpan выпустит исправления для следующих продуктов:
- Сервер федерации IDENTIKEY 1.4.4 и 1.5.3, релиз 22 октября 2014 г.
Место расположения
Для продуктов aXsGUARD Gatekeeper:
OneSpan уже развернул исправления для продуктов aXsGUARD Gatekeeper через службу автоматического обновления. Клиенты, которые не позволяют своей системе получать обновления через эту службу, должны связаться с OneSpan для получения инструкций о том, как получить исправление.
Для других продуктов:
Клиенты с контрактом на техническое обслуживание могут получить фиксированные выпуски продуктов от MyMaintenance. Клиенты без договора на техническое обслуживание должны связаться со своим торговым представителем.
Ссылка
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7169
Правовая оговорка
В то время как КАЖДЫЙ РАЗУМНЫЙ УСИЛИЯ СДЕЛАН ДЛЯ ОБРАБОТКИ И ПРЕДОСТАВЛЕНИЯ ТОЧНОЙ ИНФОРМАЦИИ, ВСЕ СОДЕРЖАНИЕ И ИНФОРМАЦИЯ В НАСТОЯЩЕМ ДОКУМЕНТЕ ПРЕДОСТАВЛЯЕТСЯ «КАК ЕСТЬ» И «КАК ДОСТУПНО», БЕЗ КАКИХ-ЛИБО ПРЕДСТАВЛЕНИЯ ИЛИ ПРИГОДНОСТИ ИЛИ В СООТВЕТСТВИИ С ИСПОЛЬЗОВАНИЕМ НИКАКОГО СРОКА ПОЛНОСТЬЮ ИЛИ ПОДХОДА ИЛИ ЛЮБОЙ ГАРАНТИИ, ВКЛЮЧАЯ ГАРАНТИИ ТОВАРНОГО ОБЕСПЕЧЕНИЯ ИЛИ ПРИГОДНОСТИ ДЛЯ ОСОБЕННОГО ИСПОЛЬЗОВАНИЯ ИЛИ ЦЕЛИ. ВЫ ИСПОЛЬЗУЕТЕ ЭТОТ ДОКУМЕНТ, ПРЕДОСТАВЛЯЕТСЯ ЛЮБАЯ ИНФОРМАЦИЯ ИЛИ МАТЕРИАЛЫ, СВЯЗАННЫЕ С ЭТОМ ДОКУМЕНТОМ, НА СВОЙ СТРАХ И РИСК. VASCO оставляет за собой право изменять или обновлять информацию в этом документе в любое время и по своему усмотрению, а также когда новая или дополнительная информация становится доступной.
Copyright © 2014 VASCO Data Security, Inc., VASCO Data Security International GmbH. Все права защищены.
Уязвимость среды GNU Bash, приводящая к изменению команд, в продукте OneSpan s