Sikkerhetsvarsel/Security bulletin 2014-09-25: Alvorlig s?rbarhet i Bash / Vulnerability in Bash

[English version follows]

S?rbarhet i Bash

Som mange sikkert har f?tt med seg er det annonsert en fersk s?rbarhet i
Bash (et mye brukt unix shell) som ?pner for remote code execution.

Informasjon p? blant annet:

   http://www.openwall.com/lists/oss-security/2014/09/24/10
   https://access.redhat.com/articles/1200223

UiO-CERT f?lger opp s?rbarheten sammen med respektive driftsgrupper.

Redhat har sluppet oppdatering som fikser s?rbarheten, slik at de fleste
RHEL-maskiner skal f? inn denne i l?pet av torsdag. I skrivende stund
ser vi ingen oppdateringer for Fedora eller OS X.

Ogs? annet utstyr som kj?rer linux med bash vil kunne v?re ber?rt, vi
jobber videre med ? kartlegge disse.
 
Dersom du er ansvarlig for windows-maskiner som har Cygwin installert,
s? vil ogs? denne med all sannsynlighet v?re s?rbar. Vi anbefaler ?
avinstallere Cygwin dersom mulig.

En s?rbar bash kan utnyttes via web, ved ? utnytte CGI-skript skrevet i
bash. Vi anbefaler alle med ansvar for web-tjenere ? rydde i hva som er
tilgjengelig via deres webservere. Dersom mulig anbefaler vi ?
midlertidig skru av CGI-st?tte.

Hvis dere har sp?rsm?l eller ser at deres utstyr er blitt fors?kt
utnyttet, ta kontakt med cert@uio.no .

--------

A new vulnerability was discovered in Bash (a Unix shell) that allows
for remote code execution,

You can find more detailed information here:

   http://www.openwall.com/lists/oss-security/2014/09/24/10
   https://access.redhat.com/articles/1200223

Redhat has released updates, which will be installed during the day for
most machines. We are still waiting for updates for Fedora and OS X.

Please note that also Cygwin is supposedly vulnerable, and we advise
your to remove any Cygwin installations if possible.

Webservers serving Bash CGI scripts can be exploited., so please take
extra care updating these. Consider temporarily disabling CGI support if
possible.

If you have any questions, please contact cert@uio.no .

 

Publisert 25. sep. 2014 11:39 - Sist endret 25. sep. 2014 11:39