[13.2] У кого воспроизводится CVE-2014-7186?

Pусский (Russian) Общий
#1

Приветствую!

Тема старая (shellshock) и, вроде как, исправлена ещё во времена актуальности 13.1, но прочитал статейку](http://blog.check-and-secure.com/29092014shellshock-разгромил-пользователей-linux/) и, выполнив указанный скрипт проверки, выяснил, что:


k_mikhail@linux-mk500:~> curl abuse-help.de/downloads/bashtest.sh | bash
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100  1556  100  1556    0     0   9952      0 --:--:-- --:--:-- --:--:-- 10038
Not vulnerable to CVE-2014-6271 (original shellshock)
Not vulnerable to CVE-2014-7169 (taviso bug)
Vulnerable to CVE-2014-7186 (redir_stack bug)
Test for CVE-2014-7187 not reliable without address sanitizer
Variable function parser inactive, likely safe from unknown parser bugs

Дальнейшая попытка установить исправление для CVE-2014-7186 вывела следующее:


k_mikhail@linux-mk500:~> sudo zypper patch --cve 2014-7186
root's password:
Загрузка данных о репозиториях...
Чтение установленных пакетов...
Исправление для выпуска CVE номер 2014-7186 не найдено или не нужно.
Разрешение зависимостей пакетов...

Нечего выполнять.
k_mikhail@linux-mk500:~>

У кого ещё воспроизводится такая ситуация и стоит ли бежать с этим в баг-трекер?

#2

UPD: А, согласно другому скрипту](https://github.com/hannob/bashcheck/blob/master/bashcheck), система не подвержена данной уязвимости:


k_mikhail@linux-mk500:~> /home/k_mikhail/bashcheck.sh
Testing /bin/bash ...
Bash version 4.2.53(1)-release

Variable function parser pre/suffixed %%, upstream], bugs not exploitable
Not vulnerable to CVE-2014-6271 (original shellshock)
Not vulnerable to CVE-2014-7169 (taviso bug)
Not vulnerable to CVE-2014-7186 (redir_stack bug)
Test for CVE-2014-7187 not reliable without address sanitizer
Not vulnerable to CVE-2014-6277 (lcamtuf bug #1)
Not vulnerable to CVE-2014-6278 (lcamtuf bug #2)
k_mikhail@linux-mk500:~>

Вот кому верить-то? :slight_smile:

#3

k mikhail wrote:

> У кого ещё воспроизводится такая
> ситуация и стоит ли бежать с этим в
> баг-трекер?

У меня воспроизводится в Tumbleweed.

#4

На всякий случай баг-репорт завёл. Может, что-то и выяснится.