<font size=2 face="sans-serif">Dear BigFix Customers,</font>
<br>
<br><font size=2 face="sans-serif">A serious vulnerability in the GNU Bash
shell was announced today that affects most Unix and Unix-like operating
systems. This vulnerability does not affect IBM Endpoint Manager directly
but given the seriousness and pervasiveness of the vulnerability the BigFix
team thought it important that our customers be aware of this issue. </font>
<br>
<br><font size=2 face="sans-serif">The so called "Shell Shock"
vulnerability is covered by two CVEs:</font>
<br><a href="http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271"><font size=2 color=blue face="sans-serif"> 
      http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271</font></a>
<br><font size=2 face="sans-serif">        </font><a href="http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7169"></a><a href="http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7169"><font size=2 color=blue face="sans-serif">http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7169</font></a>
<br>
<br><font size=2 face="sans-serif">The vulnerability was discovered by
Stephane Chazelas and announced on the OSS-SEC mailing list (in addition
to other security forums):</font>
<br><font size=2 face="sans-serif">        </font><a href="http://seclists.org/oss-sec/2014/q3/649"><font size=2 color=blue face="sans-serif">http://seclists.org/oss-sec/2014/q3/649</font></a>
<br>
<br><font size=2 face="sans-serif">This vulnerability has been widely reported
in the media:</font>
<br><font size=2 face="sans-serif">        </font><a href=http://www.theregister.co.uk/2014/09/24/bash_shell_vuln/><font size=2 color=blue face="sans-serif">http://www.theregister.co.uk/2014/09/24/bash_shell_vuln/</font></a>
<br><font size=2 face="sans-serif">        </font><a href="http://www.reuters.com/article/2014/09/25/us-cybersecurity-shellshock-idUSKCN0HK23Y20140925"><font size=2 color=blue face="sans-serif">http://www.reuters.com/article/2014/09/25/us-cybersecurity-shellshock-idUSKCN0HK23Y20140925</font></a>
<br>
<br>
<br><font size=2 face="sans-serif">There are two ways the BigFix team is
helping your organization deal with this vulnerability:</font>
<br>
<br><font size=2 face="sans-serif">First, we have published a detection
Task and Analysis which are available in the Patching Support content site.
This content was published in Patching Support v250, the Task and Analysis
are named:</font>
<br><font size=2 face="sans-serif">        </font>
<br><font size=2 face="sans-serif">        Task
1828: Check for "Shell Shock" bash Vulnerability (CVE-2014-7169)</font>
<br><font size=2 face="sans-serif">        Analysis
1829: "Shell Shock" bash Vulnerability (CVE-2014-7169) Status</font>
<br>
<br><font size=2 face="sans-serif">Both the Task and Analysis need to be
enabled to determine if your systems are running a vulnerable version of
the Bash shell.</font>
<br>
<br><font size=2 face="sans-serif">Second, as patches become available
from Operating System vendors we will be quickly incorporating those patches
into the content sties for those specific Operating Systems.</font>
<br>
<br><font size=2 face="sans-serif">Sincerely,</font>
<br>
<br><font size=2 face="sans-serif">The IBM Endpoint Manager Application
Team</font>
<br>
<br>