Er is een nieuwe ronde updates voor het ernstige lek in Bash verschenen, gebaseerd op een onofficiële update van beveiligingsexpert Florian Weimer van Red Hat. Daarnaast is er ook een nieuw probleem in het programma ontdekt. Bash is een Unix-shell waarmee er opdrachten aan het systeem kunnen worden gegeven. Het wordt voor allerlei toepassingen gebruikt en veel programma's draaien het in de achtergrond. Na ontdekking van het lek deze week werd er een update uitgerold. Die bleek het probleem niet geheel op te lossen, wat ook gold voor een tweede update.
Het eerste oorspronkelijke Bash-lek kreeg CVE-nummer 2014-6271 toegekend. Beveiligingsonderzoeker Tavis Ormandy ontdekte een soortgelijk probleem in Bash dat niet door de patch werd verholpen, iets wat Red Hat bevestigde. Deze kwetsbaarheid kreeg CVE-nummer 2014-7169. Tijdens het werken aan de Bash-patch voor dit probleem ontdekte Weimer twee nieuwe problemen, dit keer met het CVE-nummer CVE-2014-7186 en CVE-2014-7187. Voor deze problemen waren nog geen updates beschikbaar, wat Florian Weimer inspireerde om een onofficiële update te maken. Deze update is nu ook officieel voor Red Hat uitgerold.
Beveiligingsonderzoeker Michael Zalewski heeft inmiddels een nieuw probleem binnen Bash ontdekt, dat CVE-nummer 2014-6277 heeft gekregen. Deze kwetsbaarheid is waarschijnlijk op afstand te misbruiken en is eenvoudiger aan te vallen vanwege het feit dat Bash zelden met ASLR wordt gecompileerd. Red Hat zou echter niet voor dit specifieke Bash-lek kwetsbaar zijn. Zalewski adviseert in ieder geval om de update van Weimer te installeren. Meer details over zijn kwetsbaarheid zullen later bekend worden gemaakt.
Bash is naast Linux ook op Mac OS X aanwezig. Apple verklaart tegenover Security.NL dat een eerdere verklaring op iMore, dat de meeste Mac OS X- gebruikers standaard niet kwetsbaar zijn, correct is. Het probleem op OS X doet zich alleen voor als gebruikers "geavanceerde UNIX-services" configureren. Het gaat dan om het inschakelen van Remote Login met gastaccounts of het installeren en draaien van Apache/PHP of andere scripting-omgeving, zo laat Intego weten. Apple werkt op dit moment voor deze gebruikers aan een update.
Daarnaast heeft ook Oracle nu een waarschuwing voor het Bash-lek afgegeven en een overzicht van alle kwetsbare producten gepubliceerd waarvoor een update al dan niet beschikbaar is. Voor Oracle Linux en Solaris zijn updates beschikbaar, maar meer dan 30 andere producten wachten nog op een patch.
Deze posting is gelocked. Reageren is niet meer mogelijk.