**Bash-Lücke**

[mango]

Hallo,

...sollte man sich mal durchlesen!(Quelle Heise)

24.09.2014
ShellShock: Standard-Unix-Shell Bash erlaubt das Ausführen von Schadcode Update

25.09.2014
Bash-Lücke: ShellShock ist noch nicht ausgestanden

Gruss
Wolfgang

[Wirbel]

Jede Software hat diverse Fehler.

[michel8]

Autsch, 
Aber das zeigt wieder einmal, dass Mechanismen zur Softwarewartung UND die Verfügbarkeit von Updates für jede Softwareplattform von Bedeutung ist.

[Steevee]

Laut diesem Test ist EasyVDR auch verwundbar.

Code:

[email protected]:/# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test

[Bleifuss2]

Hi Steevee

Laut diesem Test ist EasyVDR auch verwundbar.

Da gibt es in Easyvdr sicher einfacher zu nutzende Löcher als das. :-\

Gruß
Peter

[Martin]

Laut diesem Test ist EasyVDR auch verwundbar.

Selbstverständlich ist ein System auf easyVDR Basis verwundbar.


Was sagt es denn nach nem dist-upgrade ?
(Die Ubuntu Patches gibt es schon seit ~3 oder 4 Tagen...)

ed: Übrigens gibt es jetzt auch schon Patches für den Patch.
      Die Bash Lücke betrifft auch nicht jedes System.

Achja und ich zitiere mal nen Open-Source Verfechter:

Die Security-Industrie hat insgesamt schon was bewegt in den letzten 10 Jahren, auch wenn sich das immer wie ein Kampf gegen Windmühlen anfühlt. Ein Gutteil des Hebels in großen Firmen kam daher, dass man sagen konnte, schaut her, selbst Microsoft hat es geschafft, dafür einen Prozess zu etablieren!

Nun kann man natürlich sagen, hey, Microsoft hat immer noch kritische Fehler in ihrem Code. Die müssen immer noch einmal im Monat Patch-Tag machen und da sind immer wieder furchtbare Dinge bei. Stimmt. Aber bei Microsoft wissen wir immerhin, dass sie selber nach Fehlern bei sich suchen und die aktiv auszumerzen versuchen. Bei anderen wissen wir, dass sie darauf warten, dass jemand von außen Fehler meldet, und dann fixen sie sie — vielleicht.

[Wirbel]

*räusper*

http://www.heise.de/security/meldung/Mic...01023.html

[Martin]

*räusper*

http://www.heise.de/security/meldung/Mic...01023.html

Jo genau dazu gehört mein Zitat*. Firmen wie IBM, HP, ... haben auch nicht EIN Sicherheitsteam...

* http://blog.fefe.de/?ts=aadff332

[Wirbel]

Danke für den Link.

Bleibt als Fazit, dass weder open-source noch Kommerz gegen schwerwiegende Bugs in Software helfen werden.

Ich schaue mir gerade den DirectX Teil der BDA Schnittstelle von Windows7+ SDK (das Gegenstück zur Linux DVB API) an und muss sagen, dass mich überhaupt nicht verwundert dass da keiner mehr durchblickt. Die header Dateien sind vollkommen unleserlich und furchtbar formatiert; die daraus automatisch generierte Doku dagegen nahezu unbrauchbar..

[Bleifuss2]

Hi

Ich kenne Directx / 3d noch in Version 5-7 das war immer sehr gut dokumentiert, ist das heute nicht mehr so?
Ich finde die Doku zu GTK schon schlecht, da zu wenige einfache Beispiele dabei sind, und einige Tage lesen habe ich auch keine Lust.

[mango]

Hi,

Laut diesem Test ist EasyVDR auch verwundbar.

Code:

[email protected]:/# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test

dann hast du Gestern aber kein dist-upgrade gemacht. ...der Patch war schon am Mittwoch dabei.

Gruss
Wolfgang

[Wirbel]

Ich kenne Directx / 3d noch in Version 5-7 das war immer sehr gut dokumentiert, ist das heute nicht mehr so?

BDA basiert auf directshow filter graphen, also nicht direkt 3D.
Das wäre eher eine Diskussion in einem off-topic Thread; ich mag den Beitrag hier nicht sprengen.

[grumpf]

@all: Der Shellshock ist wirklich böse. Da kann beliebig viel schiefgehen (inkl. Kapern des Rechners durch eine Firewall!).

Wer's nicht glauben will, soll bei RedHat nachsehen:
Die Möglichkeiten, diese Sicherheitslücke auszunutzen, sind vielfältig. Eine Analyse von RedHat listet bereits vier verschiedene Szenarien auf, in denen Shellshock zum Problem werden kann. Das größte Problem stellen CGI-Skripte auf Webservern dar. Dabei gibt es verschiedene Szenarien, in denen Bash aufgerufen werden kann. Zum einen gibt es CGI-Skripte, die direkt in Bash geschrieben sind. Zum anderen rufen verschiedene Programmiersprachen bei Systemaufrufen Bash auf.

Wie wäre es, wenn ihr einfach die apt-Kommandos veröffentlicht um __NUR__ die bash ordentlich zu aktualisieren?

Ich seh' jetzt einmal, ob ich soviel Debian hinbekomme.... ein easyvdr-update -i -d hat's für mich zuerst einmal gelöst:
[email protected]:/var/log/apt# apt-cache showpkg bash
Package: bash
Versions:
4.3-7ubuntu1.4 (/var/lib/apt/lists/de.archive.ubuntu.com_ubuntu_dists_trusty-updates_main_binary-amd64_Packages) (/var/lib/apt/lists/security.ubuntu.com_ubuntu_dists_trusty-security_main_binary-amd64_Packages) (/var/lib/dpkg/status)
Description Language:
...
Reverse Depends:
  bash:i386,bash
  chromium-browser,bash
  bash-builtins,bash 4.3-7ubuntu1.4
  bash-doc,bash 4.3-2
  bash:i386,bash
...
  bash-completion,bash 3.2
Dependencies:
4.3-7ubuntu1.4 - base-files (2 2.1.12) debianutils (2 2.15) dash (2 0.5.5.1-2.2) libc6 (2 2.15) libtinfo5 (0 (null)) bash-doc (0 (null)) bash-completion (2 ...
4.3-6ubuntu1 - base-files (2 2.1.12) debianutils (2 2.15) dash (2 0.5.5.1-2.2) libc6 (2 2.15) libtinfo5 (0 (null)) bash-doc (0 (null)) bash-completion (2 ....
Provides:
4.3-7ubuntu1.4 - bash:i386
4.3-6ubuntu1 - bash:i386
Reverse Provides:
bash:i386 4.3-7ubuntu1.4
bash:i386 4.3-6ubuntu1
[email protected]:/var/log/apt#  env x='() { :;}; echo shellshockverwundbar' bash -c ""
[email protected]:/var/log/apt# env x='() { :;}; echo shellshockverwundbar' bash -c ""
[email protected]:/var/log/apt# env X='() { (a)=>\' sh -c "echo date"; cat echo
date
cat: echo: Datei oder Verzeichnis nicht gefunden
[email protected]:/var/log/apt# ps -ef|grep update
root      8220  6870  0 11:18 tty2    00:00:00 /bin/bash /usr/bin/easyvdr-update -i -d
root      9843  4422  0 16:37 pts/0    00:00:00 grep --color=auto update
[email protected]:/var/log/apt#