Translated message

A translation of this page exists in English.

Warning message

This translation is outdated. For the most up-to-date information, please refer to the English version.

Red Hat Enterprise Linux 에서 특수하게 조작 된 환경 변수를 사용하여 Bash 코드 삽입 취약점 문제 해결 (CVE-2014-6271, CVE-2014-7169)

Solution In Progress - Updated -

Environment

  • Red Hat Enterprise Linux 7
  • Red Hat Enterprise Linux 6
  • Red Hat Enterprise Linux 5
  • Red Hat Enterprise Linux 4 (ELS)

Issue

  • Red Hat Enterprise Linux 시스템이 CVE-2014-6271CVE-2014-7169 의 영향을받지 않도록 하려면 어떻게 해야 할까요?
  • Red Hat Enterprise Linux 시스템이 CVE-2014-6271CVE-2014-7169 의 영향을 받는지 여부를 확인하려면 어떻게 해야 할까요?
  • 최신 버전의 Bash 다운로드를 통해 업그레이드하여 사용하는 시스템이 CVE-2014-6271CVE-2014-7169 의 영향을받지 않도록하려면 어떻게 해야 할까요?

Resolution

이 문제는 Bash 쉘을 사용하여 환경 변수의 값을 해석하는 모든 제품에 적용됩니다. 응용 프로그램인 Bash 가 호출되는 경로는 많이 존재하기 때문에 이 문제는 특히 위험합니다. 응용 프로그램이 다른 바이너리를 실행할 경우, 실행을 위해 자주 Bash 가 호출됩니다. 이러한 Bash 쉘의 광범위한 사용 때문에, 이 문제는 매우 위험하며, 다음과 같이 대처해야만 합니다.

CVE-2014-6271 의 영향을받지 않도록하기 위해 시스템 Bash가 다음 버전 이상인지 확인하십시오.

RHSA-2014:1293

  • Red Hat Enterprise Linux 7 - bash-4.2.45-5.el7_0.2
  • Red Hat Enterprise Linux 6 - bash-4.1.2-15.el6_5.1
  • Red Hat Enterprise Linux 5 - bash-3.2-33.el5.1

RHSA-2014:1294

  • Red Hat Enterprise Linux 4 Extended Lifecycle Support - bash-3.0-27.el4.2
  • Red Hat Enterprise Linux 5.6 Long Life - bash-3.2-24.el5_6.1
  • Red Hat Enterprise Linux 5.9 Extended Update Support - bash-3.2-32.el5_9.2
  • Red Hat Enterprise Linux 6.2 Advanced Update Support - bash-4.1.2-9.el6_2.1
  • Red Hat Enterprise Linux 6.4 Extended Update Support - bash-4.1.2-15.el6_4.1

RHSA-2014:1295

  • SJIS for Red Hat Enterprise Linux 6 - bash-4.1.2-15.el6_5.1.sjis.1
  • SJIS for Red Hat Enterprise Linux 5 - bash-3.2-33.el5_11.1.sjis.1

CVE-2014-7169 의 영향을 받지 않도록하기 위해 시스템 Bash 가 다음 버전 이상인지 확인하십시오. 이 버전에는 이전 수정도 포함됩니다.

RHSA-2014:1306

  • Red Hat Enterprise Linux 7 - bash-4.2.45-5.el7_0.4
  • Red Hat Enterprise Linux 6 - bash-4.1.2-15.el6_5.2
  • Red Hat Enterprise Linux 5 - bash-3.2-33.el5_11.4

RHSA-2014:1311

  • Red Hat Enterprise Linux 4 Extended Lifecycle Support - bash-3.0-27.el4.4
  • Red Hat Enterprise Linux 5.6 Long Life - bash-3.2-24.el5_6.2
  • Red Hat Enterprise Linux 5.9 Extended Update Support - bash-3.2-32.el5_9.3
  • Red Hat Enterprise Linux 6.2 Advanced Update Support - bash-4.1.2-9.el6_2.2
  • Red Hat Enterprise Linux 6.4 Extended Update Support - bash-4.1.2-15.el6_4.2

RHSA-2014:1312

  • SJIS for Red Hat Enterprise Linux 6 - bash-4.1.2-15.el6_5.1.sjis.2
  • SJIS for Red Hat Enterprise Linux 5 - bash-3.2-33.el5_11.1.sjis.2

다음 명령을 실행하면 Bash 패키지가 최신 버전으로 업데이트됩니다.

# yum update bash

Bash 를 특정 버전으로 업데이트 하려면 패키지 이름을 지정합니다. 예를 들어, Red Hat Enterprise Linux 6.5 시스템을 업데이트하려면 다음 명령을 실행합니다.

# yum update bash-4.1.2-15.el6_5.2

Root Cause

  • 외부 환경에서 Bash 에 전달 된 특수한 형식의 환경 변수를 평가하는 Bash 기능에 결함이 발견되었습니다. 이 기능을 사용하면 환경의 제한을 해제 또는 무시하고 제한이 적용되기 전에 쉘 명령을 실행 할 수 있습니다. 인증되지 않은 원격 공격자가 특정 서비스 및 응용 프로그램 환경 변수를 제공할 수 있는 문제를 악용 할 수 있습니다.

  • 이 취약점에 대한 자세한 내용은 다음 기술 자료를 참조하십시오.
    Bash Code Injection Vulnerability via Specially Crafted Environment Variables (CVE-2014-6271)

Diagnostic Steps

  • 시스템이이 취약점의 영향을 받는지 여부를 확인하려면 다음 명령을 실행하여 Bash 버전을 확인합니다.
# rpm -qa bash

This solution has been reviewed for technical accuracy, optimized for search, and integrated with Product Documentation and/or Red Hat Access Labs. Much like when a software package is accepted upstream, this content has moved from the general KCS editing workflow into the responsibility of Customer Content Services as maintainers.

Comments