Red Hat Enterprise Linux 에서 특수하게 조작 된 환경 변수를 사용하여 Bash 코드 삽입 취약점 문제 해결 (CVE-2014-6271, CVE-2014-7169)
Environment
- Red Hat Enterprise Linux 7
- Red Hat Enterprise Linux 6
- Red Hat Enterprise Linux 5
- Red Hat Enterprise Linux 4 (ELS)
Issue
- Red Hat Enterprise Linux 시스템이 CVE-2014-6271 및 CVE-2014-7169 의 영향을받지 않도록 하려면 어떻게 해야 할까요?
- Red Hat Enterprise Linux 시스템이 CVE-2014-6271 및 CVE-2014-7169 의 영향을 받는지 여부를 확인하려면 어떻게 해야 할까요?
- 최신 버전의 Bash 다운로드를 통해 업그레이드하여 사용하는 시스템이 CVE-2014-6271 및 CVE-2014-7169 의 영향을받지 않도록하려면 어떻게 해야 할까요?
Resolution
이 문제는 Bash 쉘을 사용하여 환경 변수의 값을 해석하는 모든 제품에 적용됩니다. 응용 프로그램인 Bash 가 호출되는 경로는 많이 존재하기 때문에 이 문제는 특히 위험합니다. 응용 프로그램이 다른 바이너리를 실행할 경우, 실행을 위해 자주 Bash 가 호출됩니다. 이러한 Bash 쉘의 광범위한 사용 때문에, 이 문제는 매우 위험하며, 다음과 같이 대처해야만 합니다.
CVE-2014-6271 의 영향을받지 않도록하기 위해 시스템 Bash가 다음 버전 이상인지 확인하십시오.
RHSA-2014:1293
- Red Hat Enterprise Linux 7 - bash-4.2.45-5.el7_0.2
- Red Hat Enterprise Linux 6 - bash-4.1.2-15.el6_5.1
- Red Hat Enterprise Linux 5 - bash-3.2-33.el5.1
RHSA-2014:1294
- Red Hat Enterprise Linux 4 Extended Lifecycle Support - bash-3.0-27.el4.2
- Red Hat Enterprise Linux 5.6 Long Life - bash-3.2-24.el5_6.1
- Red Hat Enterprise Linux 5.9 Extended Update Support - bash-3.2-32.el5_9.2
- Red Hat Enterprise Linux 6.2 Advanced Update Support - bash-4.1.2-9.el6_2.1
- Red Hat Enterprise Linux 6.4 Extended Update Support - bash-4.1.2-15.el6_4.1
RHSA-2014:1295
- SJIS for Red Hat Enterprise Linux 6 - bash-4.1.2-15.el6_5.1.sjis.1
- SJIS for Red Hat Enterprise Linux 5 - bash-3.2-33.el5_11.1.sjis.1
CVE-2014-7169 의 영향을 받지 않도록하기 위해 시스템 Bash 가 다음 버전 이상인지 확인하십시오. 이 버전에는 이전 수정도 포함됩니다.
RHSA-2014:1306
- Red Hat Enterprise Linux 7 - bash-4.2.45-5.el7_0.4
- Red Hat Enterprise Linux 6 - bash-4.1.2-15.el6_5.2
- Red Hat Enterprise Linux 5 - bash-3.2-33.el5_11.4
RHSA-2014:1311
- Red Hat Enterprise Linux 4 Extended Lifecycle Support - bash-3.0-27.el4.4
- Red Hat Enterprise Linux 5.6 Long Life - bash-3.2-24.el5_6.2
- Red Hat Enterprise Linux 5.9 Extended Update Support - bash-3.2-32.el5_9.3
- Red Hat Enterprise Linux 6.2 Advanced Update Support - bash-4.1.2-9.el6_2.2
- Red Hat Enterprise Linux 6.4 Extended Update Support - bash-4.1.2-15.el6_4.2
RHSA-2014:1312
- SJIS for Red Hat Enterprise Linux 6 - bash-4.1.2-15.el6_5.1.sjis.2
- SJIS for Red Hat Enterprise Linux 5 - bash-3.2-33.el5_11.1.sjis.2
다음 명령을 실행하면 Bash 패키지가 최신 버전으로 업데이트됩니다.
# yum update bash
Bash 를 특정 버전으로 업데이트 하려면 패키지 이름을 지정합니다. 예를 들어, Red Hat Enterprise Linux 6.5 시스템을 업데이트하려면 다음 명령을 실행합니다.
# yum update bash-4.1.2-15.el6_5.2
Root Cause
-
외부 환경에서 Bash 에 전달 된 특수한 형식의 환경 변수를 평가하는 Bash 기능에 결함이 발견되었습니다. 이 기능을 사용하면 환경의 제한을 해제 또는 무시하고 제한이 적용되기 전에 쉘 명령을 실행 할 수 있습니다. 인증되지 않은 원격 공격자가 특정 서비스 및 응용 프로그램 환경 변수를 제공할 수 있는 문제를 악용 할 수 있습니다.
-
이 취약점에 대한 자세한 내용은 다음 기술 자료를 참조하십시오.
Bash Code Injection Vulnerability via Specially Crafted Environment Variables (CVE-2014-6271)
Diagnostic Steps
- 시스템이이 취약점의 영향을 받는지 여부를 확인하려면 다음 명령을 실행하여 Bash 버전을 확인합니다.
# rpm -qa bash
This solution has been reviewed for technical accuracy, optimized for search, and integrated with Product Documentation and/or Red Hat Access Labs. Much like when a software package is accepted upstream, this content has moved from the general KCS editing workflow into the responsibility of Customer Content Services as maintainers.
Comments