Bash
如何在 cygwin 上應用 CVE-2014-6271 bash 漏洞的修復程序?
我想了解如何在 cygwin 上應用此漏洞的修復程序。
我
CYGWIN_NT-6.1 MYHOSTNAME 1.7.30(0.272/5/3) 2014-05-23 10:36 x86_64 Cygwin在 Windows 7 上執行 cygwin。#bash -version GNU bash, version 4.1.11(2)-release (x86_64-unknown-cygwin) Copyright (C) 2009 Free Software Foundation, Inc. License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html> $ env x='() { :;}; echo vulnerable' bash -c "echo this is a test" env x='() { :;}; echo vulnerable' bash -c "echo this is a test" vulnerable this is a test我嘗試了 apt-cyg 但它沒有更新任何內容:
$ apt-cyg update bash apt-cyg update bash Working directory is /setup Mirror is http://mirrors.kernel.org/sourceware/cygwin --2014-09-25 09:24:14-- http://mirrors.kernel.org/sourceware/cygwin/x86_64/setup.bz2 Resolving mirrors.kernel.org (mirrors.kernel.org)... 149.20.4.71, 149.20.20.135, 2001:4f8:1:10:0:1994:3:14, ... Connecting to mirrors.kernel.org (mirrors.kernel.org)|149.20.4.71|:80... connected. HTTP request sent, awaiting response... 200 OK Length: 431820 (422K) [application/x-bzip2] Saving to: ‘setup.bz2’ 100% [======================================================================================>] 431,820 898KB/s in 0.5s 2014-09-25 09:24:14 (898 KB/s) - ‘setup.bz2’ saved [431820/431820] Updated setup.ini當嘗試通過執行
setup-x86_64.exe並通過嚮導重新安裝 shell 下顯示的重新安裝 bash 來重新安裝時,似乎開始下載所有內容。它應該是非常快速的更新,但它開始下載超過 15 分鐘,然後我取消了它。我查看了https://cygwin.com站點和其他論壇,但到目前為止還沒有針對此漏洞的任何特定更新。
根據官方Cygwin 安裝頁面:
為 64 位版本的 Windows 安裝和更新 Cygwin
每當您想要更新或安裝 64 位 Windows 的 Cygwin 包時,請執行 setup-x86_64.exe。setup-x86_64.exe 的簽名可用於使用此公鑰驗證此二進製文件的有效性。
我有一種預感,這個 bash 會受到影響,所以在你發布問題前大約 15 分鐘,我按照設置頁面的指示做了。
不需要第 3 方腳本。
C:\Cygwin64\Downloads我相信這個過程對我來說是不同的,因為我沒有在安裝實用程序掃描我目前安裝的軟體包時清理我的下載目錄,我只保留了預設值。因此,基礎系統中的所有軟體包都已更新。其中之一恰好是受 CVE-2014-6271 影響的 bash。您可以看到以下螢幕截圖保護您的證據:
請注意,我不知道此更新是否可以防止已發現的其他漏洞,因此請在接下來的幾天內按照上述程序進行操作,直到此問題完全修復。
