Уязвимость среды GNU Bash, приводящая к изменению команд, в продуктах OneSpan

Консультативный ID Васко-са-20140930-баш

Номер ревизии 1,0

Дата выпуска 30 сентября 2014 г., 12:00 UTC + 1

Последнее обновление 17 октября 2014 г., 12:00 UTC + 1

Резюме

24 сентября 2014 года фонд GNU публично объявил об уязвимости в оболочке GNU Bash. Bash - это оболочка Unix, разработанная в рамках проекта GNU в качестве замены оболочки Bourne (sh). Он широко распространен как часть операционной системы GNU и является оболочкой по умолчанию для Linux и OS X. Уязвимость обычно называется уязвимостью «shellshock».

Многие интернет-демоны, включая telnet, SSH и веб-серверы, вызывают оболочку Bash. Оболочка Bash использует переменные среды для передачи информации в порожденные ею процессы. Уязвимость позволяет злоумышленнику вводить произвольные команды в оболочку Bash с помощью специально созданных переменных среды.

Конкретное влияние уязвимости зависит от процесса, использующего оболочку Bash. В худшем случае удаленный злоумышленник, не прошедший проверку подлинности, сможет выполнить команды на уязвимом сервере.

Затронутые продукты

Следующие продукты и услуги OneSpan подвержены этой уязвимости:

  • aXsGUARD Gatekeeper (все версии)
  • Сервер федерации IDENTIKEY (версии 1.3, 1.4 и 1.5)
  • MYDIGIPASS.COM

 

Описание

Оболочка Bash использует переменные среды для передачи информации в порожденные ею процессы. Переменные среды могут использоваться для хранения определений функций. Такие переменные среды начинаются с «() {» и обычно заканчиваются на «};».

Однако Bash выполняет любой код в переменной окружения после определения функции. Это позволяет злоумышленнику создать определение функции, такое как:

FUNCT = () {игнорировать; }; эхо снарядов

Это может привести к выполнению кода «echo shellshock», когда Bash обрабатывает свои переменные окружения.

Влияние этой уязвимости на продукты OneSpan варьируется в зависимости от уязвимого продукта и характера его использования.

Этой уязвимости были присвоены идентификаторы общих уязвимостей и уязвимостей (CVE) CVE-2014-6271 и CVE-2014-7169.

Оценка серьезности

В приведенных ниже таблицах указан показатель уязвимости CVSS 2.0.

1. Векторы атаки, которые не требуют аутентификации

Базовая оценка CVSS: 7,5
Вектор доступа Сложность доступа

Аутентификация

Влияние на конфиденциальность Влияние целостности Влияние доступности
сеть Низкий Никто частичный частичный частичный

 

CVSS Temporal Score: 7.1
уязвимостей Уровень исправления Сообщить об Уверенности
функциональная Не определен подтвердил

 

2. Векторы атаки, требующие аутентификации

Базовая оценка CVSS: 6,5
Вектор доступа Сложность доступа Аутентификация Влияние на конфиденциальность Влияние целостности Влияние доступности
сеть Низкий Один частичный  частичный частичный

 

CVSS Temporal Score: 6,2
уязвимостей Уровень исправления Сообщить об Уверенности
функциональная Не определен подтвердил

 

Исправления продукта

OneSpan исправил следующие продукты:

  • aXsGUARD Gatekeeper 7.6.5, 7.7.0, 7.7.1, 7.7.2 и 7.7.3

OneSpan пропатчил следующий сервис:

  • MYDIGIPASS.COM

OneSpan выпустит исправления для следующих продуктов:

  • Сервер федерации IDENTIKEY 1.4.4 и 1.5.3, релиз 22 октября 2014 г.

Место расположения

Для продуктов aXsGUARD Gatekeeper:

OneSpan уже развернул исправления для продуктов aXsGUARD Gatekeeper через службу автоматического обновления. Клиенты, которые не позволяют своей системе получать обновления через эту службу, должны связаться с OneSpan для получения инструкций о том, как получить исправление.

Для других продуктов:

Клиенты с контрактом на техническое обслуживание могут получить фиксированные выпуски продуктов от MyMaintenance. Клиенты без договора на техническое обслуживание должны связаться со своим торговым представителем.

Ссылка

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7169

Правовая оговорка

В то время как КАЖДЫЙ РАЗУМНЫЙ УСИЛИЯ СДЕЛАН ДЛЯ ОБРАБОТКИ И ПРЕДОСТАВЛЕНИЯ ТОЧНОЙ ИНФОРМАЦИИ, ВСЕ СОДЕРЖАНИЕ И ИНФОРМАЦИЯ В НАСТОЯЩЕМ ДОКУМЕНТЕ ПРЕДОСТАВЛЯЕТСЯ «КАК ЕСТЬ» И «КАК ДОСТУПНО», БЕЗ КАКИХ-ЛИБО ПРЕДСТАВЛЕНИЯ ИЛИ ПРИГОДНОСТИ ИЛИ В СООТВЕТСТВИИ С ИСПОЛЬЗОВАНИЕМ НИКАКОГО СРОКА ПОЛНОСТЬЮ ИЛИ ПОДХОДА ИЛИ ЛЮБОЙ ГАРАНТИИ, ВКЛЮЧАЯ ГАРАНТИИ ТОВАРНОГО ОБЕСПЕЧЕНИЯ ИЛИ ПРИГОДНОСТИ ДЛЯ ОСОБЕННОГО ИСПОЛЬЗОВАНИЯ ИЛИ ЦЕЛИ. ВЫ ИСПОЛЬЗУЕТЕ ЭТОТ ДОКУМЕНТ, ПРЕДОСТАВЛЯЕТСЯ ЛЮБАЯ ИНФОРМАЦИЯ ИЛИ МАТЕРИАЛЫ, СВЯЗАННЫЕ С ЭТОМ ДОКУМЕНТОМ, НА СВОЙ СТРАХ И РИСК. VASCO оставляет за собой право изменять или обновлять информацию в этом документе в любое время и по своему усмотрению, а также когда новая или дополнительная информация становится доступной.

Copyright © 2014 VASCO Data Security, Inc., VASCO Data Security International GmbH. Все права защищены.

Уязвимость среды GNU Bash, приводящая к изменению команд, в продукте OneSpan s