¿Cómo aplicar la corrección para la vulnerabilidad bash CVE-2014-6271 en cygwin?

Me gustaría saber cómo aplico la solución para esta vulnerabilidad en cygwin.

Estoy ejecutando el CYGWIN_NT-6.1 MYHOSTNAME 1.7.30(0.272/5/3) 2014-05-23 10:36 x86_64 Cygwinde cygwin en Windows 7.

 #bash -version
 GNU bash, version 4.1.11(2)-release (x86_64-unknown-cygwin)
 Copyright (C) 2009 Free Software Foundation, Inc.
 License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>


 $ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
 env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
 vulnerable
 this is a test

Intenté apt-cyg pero no actualicé nada:

    $ apt-cyg update bash
    apt-cyg update bash
    Working directory is /setup
    Mirror is http://mirrors.kernel.org/sourceware/cygwin
    --2014-09-25 09:24:14--          http://mirrors.kernel.org/sourceware/cygwin/x86_64/setup.bz2
    Resolving mirrors.kernel.org (mirrors.kernel.org)... 149.20.4.71, 149.20.20.135,         2001:4f8:1:10:0:1994:3:14, ...
    Connecting to mirrors.kernel.org (mirrors.kernel.org)|149.20.4.71|:80...         connected.
    HTTP request sent, awaiting response... 200 OK
    Length: 431820 (422K) [application/x-bzip2]
    Saving to: ‘setup.bz2’

    100%        [======================================================================================>]         431,820      898KB/s   in 0.5s

    2014-09-25 09:24:14 (898 KB/s) - ‘setup.bz2’ saved [431820/431820]

      Updated setup.ini

cuando intente reinstalar ejecutando setup-x86_64.exey ejecutando el asistente, vuelva a instalar bash que se muestra debajo del shell, parece que comienza a descargar todo. Debería ser una actualización muy rápida, pero comienza a descargarse durante más de 15 minutos y luego la cancelé. Miré alrededor del https://cygwin.comsitio y otros foros, pero hasta ahora no hay ninguna actualización específica para esta vulnerabilidad.

Según la página oficial de instalación de Cygwin :

Instalación y actualización de Cygwin para versiones de Windows de 64 bits

Ejecute setup-x86_64.exe cada vez que desee actualizar o instalar un paquete Cygwin para ventanas de 64 bits. La firma para setup-x86_64.exe se puede usar para verificar la validez de este binario usando esta clave pública.

Tuve el presentimiento de que esta fiesta se vio afectada, así que unos 15 minutos antes de que publicaras tu pregunta, hice lo que indicaba la página de configuración.

No hay necesidad de un script de terceros. Creo que el proceso fue diferente para mí porque no había limpiado mi directorio de descarga en C:\Cygwin64\Downloads la utilidad de configuración. Escaneé mis paquetes actualmente instalados y dejé solo los valores predeterminados. Como tal, todos los paquetes en el sistema base fueron actualizados. Uno de estos resultó ser el golpe afectado por el CVE-2014-6271. Puede ver pruebas de que está protegido por la siguiente captura de pantalla:

Tenga en cuenta que no sé si esta actualización protege contra las otras vulnerabilidades que se han descubierto, así que siga el procedimiento anterior los próximos días hasta que este problema se solucione por completo.

Esto se parece a la versión que parcheó shellshock (sujeto a otras variaciones / parches de errores) para cygwin bash:

Fecha: lunes, 29 de septiembre de 2014 15:22:43 -0600

https://cygwin.com/ml/cygwin-announce/2014-09/msg00040.html

AKA: 4.1.14-7

"Esta es una reconstrucción menor que recoge un parche aguas arriba para reparar CVE-2014-7169 y todos los demás ataques ShellShock (4.1.13-6 también era seguro, pero usaba un parche aguas abajo ligeramente diferente que usaba '()' en lugar de ' %% 'en las variables de entorno, y que era demasiado restrictivo en la importación de funciones cuyo nombre no era un identificador). Todavía se conocen los bloqueadores del analizador (como CVE-2014-7186, CVE-2014-7187 y CVE-2014-6277 ) donde el flujo ascendente probablemente emita parches pronto; pero si bien esos problemas pueden desencadenar un bloqueo local, no pueden ser explotados para la escalada de privilegios a través de contenido de variables arbitrarias por esta compilación. creó variables de entorno y fue explotable a través de una serie de servicios remotos,así que es muy recomendable que actualices ... "

También tuve que eliminar mi directorio de descarga de cygwin antes de poder obtener una versión más reciente de bash a través de setup-x86_64.exe. :( Entonces verifique con "bash --version" para confirmar su nivel de parche.

Sin embargo, es posible que aún no estemos fuera de peligro ...

REF: http://www.zdnet.com/the-shellshock-faq-heres-what-you-need-to-know-7000034219/

"CVE-2014-6277 y CVE-2014-6278: los investigadores de seguridad descubrieron dos errores adicionales. Se supone que estos dos errores tienen el potencial de inyección de comandos arbitrarios, similar al error Bash original. Sin embargo, los detalles aún no se han hecho públicos, para permitir la creación de parches apropiados ".

CVE-2014-6277

Fecha de lanzamiento original: 27/09/2014

CVE-2014-6278

Fecha de lanzamiento original: 30/09/2014

Suspiro. Parece que debemos mantener un buen ojo y seguir parcheando a BASH por un poco más de tiempo. Sin embargo, es probable que sea mucho mejor en (y después) bash 4.1.14-7 bajo cygwin.

Espero que ayude.