web-dev-qa-db-fra.com

Quels systèmes et appareils d'exploitation sont connus pour être affectés par Shellshock? Quels correctifs sont disponibles?

Ceci est destiné à être un wiki communautaire pour documenter quels systèmes et dispositifs d'exploitation sont connus pour être affectés par la vulnérabilité de shellshock (et des vulnérabilités associées) et quelles patchs sont disponibles.

La liste CW doit contenir les informations suivantes:

  • Nom du produit concerné.
    • (Inclure les versions affectées, si possible.)
  • Statut de disponibilité des correctifs.
  • Liens vers des références:
    • Vendeur/Chercheur Confirmation selon laquelle le produit est affecté.
    • Patch de fournisseur Avis et/ou page de téléchargement. (Si disponible.)

Notez que c'est non L'endroit pour poster des recherches originales, ni pour être un examen approfondi de la manière dont certains produits sont affectés. Il s'agit simplement de répertorier les produits affectés et les correctifs disponibles.

Actuellement, six vulnérabilités sont généralement classées sous le parapluie de "Shellshock":

Un produit n'a pas besoin d'avoir des correctifs disponibles pour tout ou tous, de ceux-ci pour être répertoriés. Les critères minimaux pour répertorier un produit ici sont qu'il existe une confirmation publique d'une source de bonne réputation indiquant que l'une ou l'ensemble des cves ci-dessus s'appliquent au produit. Si la confirmation de vulnérabilité ou les correctifs sont toujours indisponibles pour un produit, pour certaines de ces cves, veuillez fixer le produit et quelles informations sont disponibles.

N'ajoutez pas de produit à cette liste ou réclamez un correctif disponible, sans fournir une référence à une notification ou de documentation émise par le fournisseur par un autre chercheur.

S'il vous plaît ne postez pas de réponses séparées. La première réponse doit être signalée comme wiki communautaire, de sorte que tout le monde puisse l'ajouter ou le modifier ultérieurement au besoin.

11
Iszi

Chose est - la réponse est fondamentalement: tous. Tout appareil avec GNU BASH installé, toute version est techniquement vulnérable.

EXCEPTION NOTABLE: Bupérer N'EST PAS GNU. Donc, votre routeur WiFi n'a probablement pas GNU BASH.

Mais plus important encore, tous les appareils expose bash de telle sorte que des valeurs arbitraires puissent être insérées dans des variables d'environnement. Les exemples critiques où cela est possible est dans les scripts CGI qui utilisent Bash pour quelque chose et dans certains types de répondeurs DHCP, ainsi que dans des environnements de shell restreints.

Beaucoup de gens apprennent maintenant que des panneaux de contrôle Web (comme Plesk) portent avec un ensemble de scripts CGI "test", dont l'un est écrit à Bash. Et même si presque personne n'écrirait une application Web sérieuse à Bash CGI, beaucoup d'entre eux peuvent avoir installé ce script de test.

3
tylerl