CVE-2014-7169

Bourne-Again Shell (Bash)

Hersteller: GNU

9,8 CRITICAL CVSS Basis-Score

Beschreibung

Die Schwachstelle steckt in der GNU Bourne-Again Shell (Bash), der weit verbreiteten Kommandozeilen-Shell unter Unix- und Linux-Systemen. Bash wertet den Inhalt von Umgebungsvariablen aus und verarbeitet dabei auch Zeichenketten, die hinter bestimmten fehlerhaft aufgebauten Funktionsdefinitionen stehen. Ein Angreifer kann eine Umgebungsvariable so präparieren, dass diese angehängte Zeichenkette als Befehl ausgeführt wird. Ausnutzbar ist das überall dort, wo Umgebungsvariablen über eine Vertrauensgrenze hinweg an Bash übergeben werden – etwa über die ForceCommand-Funktion in OpenSSH, die CGI-Module des Apache-Webservers oder über DHCP-Clients. Auf diesem Weg kann ein entfernter, nicht angemeldeter Angreifer eigene Befehle einschleusen, Dateien beschreiben und beliebigen Code ausführen. Betroffen sind zahllose Server und Geräte, die Bash einsetzen; die Lücke geht auf eine unvollständige Behebung einer vorangegangenen Schwachstelle zurück.

Empfohlene Maßnahmen

Spielen Sie die vom Hersteller bereitgestellten Aktualisierungen gemäß dessen Anweisungen ein.

Erwähnt in

Artikel und Wochenreports, die diese Schwachstelle behandeln

Artikel Bisher keine Artikel.

Kennzahlen

Schweregrad CRITICAL · CVSS 9,8

Betroffen 1.0.0.0 bis 1.0.0.4, 1.1.0.0 bis 1.1.0.4, 1.1.0.0 bis < 1.4.3.5, 1.1.0.0 bis < 7.1.0.11, bis < 1.2.1, 1.3, 1.5.0.0 bis < 1.5.0.4, 2.0, 2.0.0.0, 2.1, 2.1.0, 2.1.0 bis 2.3.0, 2.2.0, 2.3.0, 2.4.0, 3.0, 3.0.0 bis 3.1.1, 3.1.0, 3.1.0 bis 3.1.0.7, 3.2.0, 3.3.2, 3.4, 3.4.1, 3.5.1, 3.8.0.0 bis < 3.8.0.07, 3.9.1.0 bis < 3.9.1.08, 4, 4.0, 4.0.0 bis 4.0.5, 4.0.0 bis 4.4.0, 4.1, 4.1.0, 4.1.1, bis < 4.1.1, 4.1.2.0 bis < 4.1.2.06, 4.2.0 bis 4.4.0, bis 4.3, 4.9.0 bis < 4.9.12, 4.10.0 bis < 4.10.9, 4.11.0 bis < 4.11.11, 4.12.0 bis < 4.12.9, 4.13.0 bis < 4.13.9, 4.14.0 bis < 4.14.4f, 5, 5.0, 5.0_ppc, 5.1, 5.5, 5.6, 5.9, 5.9_ppc, 5.9_s390x, 6, 6.0, 6.0_ppc64, 6.0.0 bis 6.4.0, 6.2, 6.4, 6.4_ppc64, 6.4_s390x, 6.5, 6.5_ppc64, 6.5_s390x, 7.0, 7.0_ppc64, 7.0.0.1, 7.0.0.2, 7.0.0.3, 7.0.0.4, 7.0.0.5, 7.0.0.6, 7.0.0.7, 7.0.0.8, 7.1.0, 7.1.1, 7.1.2, 7.2, 7.2.0, 7.2.0.0 bis < 7.2.0.9, 7.2.1, 7.2.2, 7.2.3, 7.2.4, 7.2.5, 7.2.6, 7.2.7, 7.2.8, 7.2.8.15, 7.2.9, 7.3, 7.3_ppc64, 7.3_s390x, 7.3.0.0 bis < 7.3.0.7, 7.4, 7.4_ppc64, 7.4_s390x, 7.5, 7.5_ppc64, 7.5_s390x, 7.6, 7.6_ppc64, 7.6_s390x, 7.7, 7.7_ppc64, 7.7_s390x, 8.0.0.1, 8.0.0.2, 8.0.0.3, 8.0.0.5, 8.2, 9.0, 9.1, bis < 9.3.67.5r1, 10, 10 bis < 10.1.129.11r1, 10.0.0 bis 10.2.4, 10.0.0 bis < 10.10.0, 10.1.0 bis 10.2.4, 10.3, 10.04, 10.5 bis < 10.5.52.11r1, 11, 11.0, 11.0.0 bis 11.3.0, 11.0.0 bis 11.4.1, 11.0.0 bis 11.5.1, 11.1, 11.2, 11.3.0, 11.3.0 bis 11.5.1, 11.4.0 bis 11.5.1, 11.6.0, 12, 12.3, 12.04, 13.1, 13.2, 14.04, bis < r77.30

Behoben in 1.2.1, 1.4.3.5, 1.5.0.4, 3.8.0.07, 3.9.1.08, 4.1.1, 4.1.2.06, 4.9.12, 4.10.9, 4.11.11, 4.12.9, 4.13.9, 4.14.4f, 7.1.0.11, 7.2.0.9, 7.3.0.7, 9.3.67.5r1, 10.1.129.11r1, 10.5.52.11r1, 10.10.0, r77.30

Schwachstellentyp CWE-78

CISA-Katalog 2022-01-28

Patch-Frist 2022-07-28

Veröffentlicht 28.01.2022

Quelle: NVD / CISA KEV. Automatisch übersetzt.