cygwinでこの脆弱性に対する修正を適用する方法を知りたいです。
CYGWIN_NT-6.1 MYHOSTNAME 1.7.30(0.272/5/3) 2014-05-23 10:36 x86_64 Cygwin私はWindows 7でcygwinを実行しています。
#bash -version
GNU bash, version 4.1.11(2)-release (x86_64-unknown-cygwin)
Copyright (C) 2009 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>
$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test
apt-cygを試しましたが、何も更新しませんでした。
$ apt-cyg update bash
apt-cyg update bash
Working directory is /setup
Mirror is http://mirrors.kernel.org/sourceware/cygwin
--2014-09-25 09:24:14-- http://mirrors.kernel.org/sourceware/cygwin/x86_64/setup.bz2
Resolving mirrors.kernel.org (mirrors.kernel.org)... 149.20.4.71, 149.20.20.135, 2001:4f8:1:10:0:1994:3:14, ...
Connecting to mirrors.kernel.org (mirrors.kernel.org)|149.20.4.71|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 431820 (422K) [application/x-bzip2]
Saving to: ‘setup.bz2’
100% [======================================================================================>] 431,820 898KB/s in 0.5s
2014-09-25 09:24:14 (898 KB/s) - ‘setup.bz2’ saved [431820/431820]
Updated setup.ini
setup-x86_64.exeシェルの下に示すように、ウィザードを介してbashを実行して再インストールして再インストールしようとすると、すべてがダウンロードされ始めるようです。アップデートが早くなければなりませんが、15分以上ダウンロードが始まってキャンセルされました。ウェブサイトやその他のフォーラムを確認しましたが、https://cygwin.comこれまでこの脆弱性に関する具体的なアップデートはありませんでした。
ベストアンサー1
公式紹介によるとCygwinのインストールページ:
64ビット版のWindows用Cygwinのインストールとアップデート
64ビットWindows用のCygwinパッケージを更新またはインストールするには、setup-x86_64.exeを実行してください。 setup-x86_64.exeの署名を使用すると、この公開鍵を使用してこのバイナリを検証できます。
私はこのbashが影響を受けると予感したので、あなたが質問を投稿する約15分前に設定ページの指示に従いました。
サードパーティのスクリプトは必要ありません。C:\Cygwin64\Downloads セットアップユーティリティが現在インストールされているパッケージを検索するときに、ダウンロードディレクトリをクリーンアップせずにデフォルト値のままにしたので、プロセスが異なると思います。したがって、基本システムのすべてのパッケージが更新されました。その1つはCVE-2014-6271の影響を受けるbashです。次のスクリーンショットで保護されているという証拠を確認できます。
今回のアップデートで発見された他の脆弱性が予防されるかどうかはわかりませんので、この問題が完全に修正されるまで数日間上記の手順に従ってください。