Sikkerhetsvarsel/Security bulletin 2014-09-25: Alvorlig sårbarhet i Bash / Vulnerability in Bash

[English version follows]

Sårbarhet i Bash

Som mange sikkert har fått med seg er det annonsert en fersk sårbarhet i
Bash (et mye brukt unix shell) som åpner for remote code execution.

Informasjon på blant annet:

   http://www.openwall.com/lists/oss-security/2014/09/24/10
   https://access.redhat.com/articles/1200223

UiO-CERT følger opp sårbarheten sammen med respektive driftsgrupper.

Redhat har sluppet oppdatering som fikser sårbarheten, slik at de fleste
RHEL-maskiner skal få inn denne i løpet av torsdag. I skrivende stund
ser vi ingen oppdateringer for Fedora eller OS X.

Også annet utstyr som kjører linux med bash vil kunne være berørt, vi
jobber videre med å kartlegge disse.
 
Dersom du er ansvarlig for windows-maskiner som har Cygwin installert,
så vil også denne med all sannsynlighet være sårbar. Vi anbefaler å
avinstallere Cygwin dersom mulig.

En sårbar bash kan utnyttes via web, ved å utnytte CGI-skript skrevet i
bash. Vi anbefaler alle med ansvar for web-tjenere å rydde i hva som er
tilgjengelig via deres webservere. Dersom mulig anbefaler vi å
midlertidig skru av CGI-støtte.

Hvis dere har spørsmål eller ser at deres utstyr er blitt forsøkt
utnyttet, ta kontakt med cert@uio.no .

--------

A new vulnerability was discovered in Bash (a Unix shell) that allows
for remote code execution,

You can find more detailed information here:

   http://www.openwall.com/lists/oss-security/2014/09/24/10
   https://access.redhat.com/articles/1200223

Redhat has released updates, which will be installed during the day for
most machines. We are still waiting for updates for Fedora and OS X.

Please note that also Cygwin is supposedly vulnerable, and we advise
your to remove any Cygwin installations if possible.

Webservers serving Bash CGI scripts can be exploited., so please take
extra care updating these. Consider temporarily disabling CGI support if
possible.

If you have any questions, please contact cert@uio.no .

 

Publisert 25. sep. 2014 11:39 - Sist endret 25. sep. 2014 11:39