bash-4.1.2-48.AXS4

エラータID: AXSA:2017-1370:02

リリース日: 
2017/03/22 Wednesday - 22:13
題名: 
bash-4.1.2-48.AXS4
影響のあるチャネル: 
Asianux Server 4 for x86_64
Asianux Server 4 for x86
Severity: 
Moderate
Description: 

以下項目について対処しました。

[Security Fix]
- Bash には,巧妙に細工された SHELLOPTS と PS4 環境変数によって,
ローカルのユーザが任意のコマンドを root 権限で実行する脆弱性があり
ます。(CVE-2016-7543)

- bash の popd には,巧妙に細工されたアドレスを用いて,ローカルの
ユーザが制限されたシェルを回避し,解放後使用を引き起こす脆弱性があ
ります。(CVE-2016-9401)

現時点では CVE-2016-0634 の情報が公開されておりません。
CVE の情報が公開され次第情報をアップデートいたします。

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2016-0634
The expansion of '\h' in the prompt string in bash 4.3 allows remote authenticated users to execute arbitrary code via shell metacharacters placed in 'hostname' of a machine.
CVE-2016-7543
Bash before 4.4 allows local users to execute arbitrary commands with root privileges via crafted SHELLOPTS and PS4 environment variables.
CVE-2016-9401
popd in bash might allow local users to bypass the restricted shell and cause a use-after-free via a crafted address.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. bash-4.1.2-48.AXS4.src.rpm
    MD5: 450c3395452df703a0bb9dd02dfd958b
    SHA-256: a74dba047af24fdbe996606bc572e296b7bbd62587559954b5f49df93b285be7
    Size: 6.38 MB

Asianux Server 4 for x86
  1. bash-4.1.2-48.AXS4.i686.rpm
    MD5: 0f7c54b9cf1e3b9dacffb6b6b2bb995a
    SHA-256: 75b09cfc69d8eafbd608d14043d644b39842728eb5aa7c43bc80fc5575034280
    Size: 891.32 kB

Asianux Server 4 for x86_64
  1. bash-4.1.2-48.AXS4.x86_64.rpm
    MD5: c316545b3940684154683fb793be0ec6
    SHA-256: 4e3a6934b0040476f1db63417f6d62cc6c0bc409f6655be8586935a14366e06d
    Size: 909.36 kB