Fix spelling
[shellsnippets/shellsnippets.git] / README.md
1 bashcheck
2 =========
3
4 Test script for Shellshock and related vulnerabilities
5
6 background
7 ==========
8
9 The Bash vulnerability that is now known as Shellshock had an incomplete
10 fix at first. There are currently 6 public vulnerabilities.
11
12 interpreting results
13 ====================
14
15 There's been some confusion how to interpret the results of this script
16 and some people got scared by warnings on systems that didn't have any
17 exploitable bugs.
18
19 The most important fix you need is one of the prefix/suffix-patches. Upstream
20 patch number for this is bash042-050 and bash043-027 (patches for older
21 versions also available). This patch was originally created by RedHat
22 developer Florian Weimer and a modified version was applied by Bash
23 developer Chet Ramey.
24
25 Once you have this prefix patch all other vulnerabilities are not exploitable.
26 They are still bugs that should be fixed, but there is nothing to worry
27 about.
28
29
30 usage
31 =====
32
33 Just run script:
34  `./bashcheck`
35
36 CVE-2014-6271
37 =============
38
39 The original vulnerability.
40
41 * https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-6271
42
43 CVE-2014-7169
44 =============
45
46 Further parser error, found by Tavis Ormandy (taviso).
47
48 * https://twitter.com/taviso/status/514887394294652929
49 * https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-7169
50
51 CVE-2014-7186
52 =============
53
54 Out of bound memory read error in redir_stack.
55
56 * http://seclists.org/oss-sec/2014/q3/712
57 * https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-7186
58
59 CVE-2014-7187
60 =============
61
62 Off-by-one error in nested loops.
63 (check only works when Bash is built with -fsanitize=address)
64
65 * http://seclists.org/oss-sec/2014/q3/712
66 * https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-7187
67
68 CVE-2014-6277
69 =============
70
71 Uninitialized Memory use in make_redirect(), found by
72 Michal Zalewski (lcamtuf).
73
74 * http://lcamtuf.blogspot.de/2014/10/bash-bug-how-we-finally-cracked.html
75 * https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-6277
76
77 CVE-2014-6278
78 =============
79
80 Another parser bug, analysis still incomplete, also found
81 by Michal Zalewski (lcamtuf).
82
83 * http://lcamtuf.blogspot.de/2014/10/bash-bug-how-we-finally-cracked.html
84 * https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-6278
85
86 Patch recommendation
87 ====================
88
89 Latest upstream patches (4.3 patchlevel 028, 4.2 patchleven 051) now
90 include all fixes except for the latest lcamtuf issue.
91
92 They also add prefixing to variable functions (a variant of Florian
93 Weimer's patch) and thus although two known (and some possibly unknown)
94 parser bugs are still unfixed they should not be exploitable.
95
96 My current recommendation: Use latest upstream patches.