GNU Bash through 4.3 processes trailing strings after function definitions in the values of environment variables, which allows remote attackers to execute arbitrary code via a crafted environment, as demonstrated by vectors involving the ForceCommand feature in OpenSSH sshd, the mod_cgi and mod_cgid modules in the Apache HTTP Server, scripts executed by unspecified DHCP clients, and other situations in which setting the environment occurs across a privilege boundary from Bash execution, aka "ShellShock." NOTE: the original fix for this issue was incorrect; CVE-2014-7169 has been assigned to cover the vulnerability that is still present after the incorrect fix.
oryginał ENCVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HArista Eos
OSArista4.14.0 – 4.14.4f (bez)4.9.0 – 4.9.12 (bez)4.10.0 – 4.10.9 (bez)4.11.0 – 4.11.11 (bez)4.12.0 – 4.12.9 (bez)4.13.0 – 4.13.9 (bez)Debian
OSDebian7.0Gnu Bash
APPGnu≤ 4.3IBM Infosphere Guardium Database Activity Monitoring
APPIbm8.29.09.1IBM Pureapplication System
APPIbm2.0.0.01.0.0.0 – 1.0.0.41.1.0.0 – 1.1.0.4IBM Qradar Risk Manager
APPIbm7.1.0IBM Qradar Security Information And Event Manager
APPIbm7.1.07.1.17.1.27.27.2.07.2.17.2.2Mageia
OSMageia3.04.0Opensuse
OSOpensuse12.313.113.2Oracle Linux
OSOracle456Qnap Qts
OSQnap4.1.1< 4.1.1Red Hat Enterprise Linux
OSRedhat4.05.06.07.0Red Hat Enterprise Linux Desktop
OSRedhat5.06.07.0Red Hat Enterprise Linux Eus
OSRedhat5.96.46.57.37.47.57.67.7Red Hat Enterprise Linux For IBM Z Systems
OSRedhat5.9_s390x6.4_s390x6.5_s390x7.3_s390x7.4_s390x7.5_s390x7.6_s390x7.7_s390xRed Hat Enterprise Linux For Power Big Endian
OSRedhat5.0_ppc5.9_ppc6.0_ppc646.4_ppc647.0_ppc64Red Hat Enterprise Linux For Power Big Endian Eus
OSRedhat6.5_ppc647.3_ppc647.4_ppc647.5_ppc647.6_ppc647.7_ppc64Red Hat Enterprise Linux For Scientific Computing
OSRedhat6.07.0Red Hat Enterprise Linux Server
OSRedhat5.06.07.0Red Hat Enterprise Linux Server Aus
OSRedhat5.65.96.26.46.57.37.47.67.7Red Hat Enterprise Linux Server From Rhui
OSRedhat5.06.07.0Red Hat Enterprise Linux Server Tus
OSRedhat6.57.37.67.7Red Hat Enterprise Linux Workstation
OSRedhat5.06.07.0Red Hat Gluster Storage Server For On Premise
APPRedhat2.1Red Hat Virtualization
APPRedhat3.4SUSE Linux Enterprise Desktop
OSSuse1112SUSE Linux Enterprise Server
OSSuse101112SUSE Linux Enterprise Software Development Kit
OSSuse1112SUSE Studio Onsite
APPSuse1.3
CISA KEV — szczegółyi
- Dostawcai
- GNU
- Produkti
- Bourne-Again Shell (Bash)
- Data dodania do KEVi
- 28 stycznia 2022
- Termin remediation (USA)i
- 28 lipca 2022(po terminie)
Zastosuj aktualizacje zgodnie z instrukcjami dostawcy.
▸ Pokaż oryginał (EN)
Apply updates per vendor instructions.
GNU Bash w wersji 4.3 i wcześniejszych przetwarza ciągi znaków po definicjach funkcji w wartościach zmiennych środowiskowych, co umożliwia zdalnym atakującym wykonanie kodu.
▸ Pokaż oryginał (EN)
GNU Bash through 4.3 processes trailing strings after function definitions in the values of environment variables, which allows remote attackers to execute code.
Powiązane podatności
GNU Inetutils telnetd: ominięcie uwierzytelnienia przez zmienną USER
Sudo: eskalacja uprawnień do root poprzez opcję --chroot (CVE-2025-32463)
RCE przez deserializację PHP w Roundcube Webmail (parametr _from)
Erlang/OTP SSH — nieuwierzytelniony RCE (CVSS 10.0)
Apple WebKit: out-of-bounds write umożliwiający ucieczkę z sandbox przeglądarki