Куда я попал?
BDU:2014-00319
CVSS: 10
24.09.2014
Уязвимость интерпретатора командной строки GNU Bash, позволяющая злоумышленнику вызвать отказ в обслуживании или выполнить произвольный код
Уязвимость интерпретатора командной строки GNU Bash, вызванная ошибками обработки входных данных при выполнении синтаксического анализа кода. Эксплуатация данной уязвимости позволяет злоумышленнику, путем создания новой переменной окружения, выполнить произвольный код с правами текущего пользователя при очередном запуске интерпретатора командной строки. Создание новой переменной окружения может быть выполнено как удалённо (например, при помощи Web-сервера или DHCP-сервера), так и локально
| Статус уязвимости: |
Подтверждена производителем
Уязвимость устранена
|
| Дата выявления: | 24.09.2014 |
| Класс уязвимости: | Уязвимость кода |
| Наличие эксплойта: | Существует в открытом доступе |
| Способ эксплуатации: | Инъекция |
| Способ устранения: | Нет данных |
| Меры по устранению: | Установка обновления, выпущенного официальными разработчиками операционных систем семейства Linux, в состав которых входит интерпретатор командной строки GNU Bash |
| Прочая информация: | 24 сентября 2014 года была обнаружена уязвимость CVE-2014-6271, названная «ShellShock», в тот же день выпущено обновление ПО Linux, устраняющее указанную уязвимость. Однако обновление не позволило в полной мере её нейтрализовать, и 24 сентября была обнаружена уязвимость CVE-2014-7169. Аналогичная ситуация с уязвимостями CVE-2014-6277 (27.09.2014) и CVE-2014-6278 (30.09.2014) |
Идентификатор типа ошибки
Идентификатор, установленный в соответствии с общим перечнем ошибок CWE
| Идентификатор | Описание |
|---|---|
| CWE-78 | Некорректная нейтрализация специальных элементов, используемых в системных командах (внедрение команд ОС) |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| CVE-2014-6271 | GNU Bash through 4.3 processes trailing strings after function definitions in the values of environment variables, which allo... |
| CVE-2014-6277 | GNU Bash through 4.3 bash43-026 does not properly parse function definitions in the values of environment variables, which al... |
| CVE-2014-6278 | GNU Bash through 4.3 bash43-026 does not properly parse function definitions in the values of environment variables, which al... |
| CVE-2014-7169 | GNU Bash through 4.3 bash43-025 processes trailing strings after certain malformed function definitions in the values of envi... |
CVSS
Система общей оценки уязвимостей
| Оценка | Severity | Версия | Базовый вектор |
|---|---|---|---|
| 10 | CRITICAL | 2.0 | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Идентификаторы других систем описаний уязвимостей
CVE-2014-6271
CVE-2014-7169
CVE-2014-6277
CVE-2014-6278
OSVDB ID:112004
OSVDB ID:112169
OSVDB ID:112158
| Вендор: |
|
| Тип ПО: |
|
| Наименование ПО: |
|
| Версия ПО: |
|
| ОС и аппаратные платформы: |
|
| Ссылки на источники: |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.