Shellshock - was ist denn das nun wieder?

[R.O. Lex]

http://www.spiegel.de/netzwelt/web/s...-a-993688.html

[nand]

Eine Katastrophe, mein Debian Linux Server steht ungeschützt im Netz und ist gefährdet, bisher noch kein Update. Beim Synology NAS habe ich mal vorsorglich den Terminal/SSH-Dienst ausgeschaltet. Zum Glück betreibe ich nicht beruflich Unix/Linux Server im Netz, sonst wäre mein Wochenendtrip hiermit gestorben. Mein Mac OS 10.9.5) ist ebenfalls gefährdet, fast jedes Android Gerät ebenso.

[domer]

Fas jedes Android Gerät? So,so.... welches Android Gerät nutzt den Bash (ootb)?

https://news.ycombinator.com/item?id=8365110

Zitat "


amalcon 1 day ago | link

Huh, I literally just checked all the shells on my android device (with code that worked on my laptop earlier), and it didn't seem vulnerable. Are you talking about a different vulnerability?
reply

mzs 1 day ago | link

My version of ash seems unaffected. Do you have more info?
# env x='() { :;}; echo vulnerable' /bin/sh -c "echo this is a test"
this is a test
# env x='() { :;}; echo vulnerable' /bin/ash -c "echo this is a test"
this is a test
reply

ryan-c 1 day ago | link

Android is not vulnerable. The person who posted a screenshot on twitter has bash installed on their phone. It is not in stock Android as far as I can tell, nor is it on my manually rooted Nexus 5. What the rooting tools install I don't know, it might include bash.
reply

"

[dj74]

Meiner Meinung nach wird das etwas zu sehr dramatisiert.
Ein Angriff setzt voraus, dass man Zugriff auf eine Bash hat, respektive, dass man eine Environmentvariable setzen muss, bevor die Bash gestartet wurde.
Bei einem normalen Arbeitsplatz dürfte die Gefahr äußerst gering sein oder man hatte schon immer ein Problem wegen schwacher Kennwörter etc.

Bei Webservern sieht es anders aus, da diese entweder Ssh anbieten oder potentiell anfällige Software darauf läuft, über die shellbefehle einschleusbar sind (was aber auch schon vorher ein Problem war, nur nicht so dramatisch wegen der eingeschränkten Userrechte).

Jeder vernünftige Sysadmin sollte also gestern die Patches eingespielt haben.

[domer]

Mein Reden..... Privatanwender können das easy Testen und welcher Admin die Patches nicht eingespielt hat wäre besser Entwickler geworden.

[21prozent]

Mein Reden..... Privatanwender können das easy Testen und welcher Admin die Patches nicht eingespielt hat wäre besser Entwickler geworden.

Jetzt mal eben zwei Verständnisfragen eines Entwicklers:

1. Das Tor von aussen sind CGIs, die Bash-basiert sind! Wer um Gottes Willen hat denn so was noch seit 1995 produktiv im Einsatz?

2. Auf dem System selbst braucht der Angreifer ohnehin Root-Rechte! Also wo bitte ist da der Hack?


Kay: Welches Webframework verwendet Synology für die Remote-Administration? Und warum kannst du überhaupt von Draussen darauf zugreifen?


PS, ich liebe meine Bash

[Soeckefeld]

seit eben in den News.....

Entwickler von Redhat haben inzwischen zwei weitere mögliche Sicherheitslücken im Funktionsparser von Bash gefunden. Es handelt sich dabei um Zugriffe auf falsche Speicherbereiche, die die IDs CVE-2014-7186 und CVE-2014-7187 erhalten haben. Wie gravierend diese neuen Lücken sind, und ob sie sich leicht ausnutzen lassen, ist im Moment schwer abschätzbar. Patches sind von Redhat auf der Mailingliste oss-security gepostet worden. ■

[R.O. Lex]

Nachdem ich in den Antworten noch mehr Bahnhöfe verstanden habe als in dem Artikel, hier die einfache Frage: Was bedeutet das für mich / für uns als iMac bzw iPhone Nutzer?

[timeZone]

... bin ich als Communicator - Benutzer auch betroffen ???

Grüße aus dem Allgäu

Jürgen

[21prozent]

Das Problem ist offenbar, dass keiner so genau weiß welche Anwendungen, Dienste Shell-Skripte direkt und/oder indirekt verwenden. Im Grunde ist es imho nahezu unmöglich zu sagen, ob man mit irgend einem Device betroffen ist. Was kann man tun? Softwareupdates machen: Von Rechnern, Servern, Routern, Firewalls - eben alles, was so rum steht. Oder man macht seinen eigenen Bastelladen (NAS und Konsorten) dicht und überlässt den Security-Hassle professionellen Cloud Anbietern.

[markus247]

Hier Jungs, mal unter uns:

Ich habe den Faden jetzt mehrfach gelesen und auch erst einen Sekt auf Eis intus. Noch nie habe ich nach so viel Geschreibsel so wenig gewusst, um was es geht.
Bekommt einer von euch Könnern mal ohne Anglizismen hin, mir als reinem Anwender zu erklären, worum es geht. Und wo die Gefahren liegen. Am Liebsten dann auch, wie sie zu beseitigen sind.

[intimeout]

Hier Jungs, mal unter uns:

Ich habe den Faden jetzt mehrfach gelesen und auch erst einen Sekt auf Eis intus. Noch nie habe ich nach so viel Geschreibsel so wenig gewusst, um was es geht.
Bekommt einer von euch Könnern mal ohne Anglizismen hin, mir als reinem Anwender zu erklären, worum es geht. Und wo die Gefahren liegen. Am Liebsten dann auch, wie sie zu beseitigen sind.

+1 Danke Markus

Und vielleicht ohne "unverständliche" Abkürzungen.

[21prozent]

Steht doch da
Mit anderen Worten: Du bist kein wirklich interessantes Ziel, aber es kann dich doof erwischen! Wahrscheinlich eher nicht wegen deinem Rechner, möglicherweise aber über DSL Router die bei dir rumstehen, WLAN Router, Firewalls - das ganze Gedöns von dem keiner weiß ,wofür es gut ist.

Spiel aktuelle Updates ein. Mehr kannst du nicht tun

[intimeout]

Steht doch da
Mit anderen Worten: Du bist kein wirklich interessantes Ziel, aber es kann dich doof erwischen! Wahrscheinlich eher nicht wegen deinem Rechner, möglicherweise aber über DSL Router die bei dir rumstehen, WLAN Router, Firewalls - das ganze Gedöns von dem keiner weiß ,wofür es gut ist.
Spiel aktuelle Updates ein. Mehr kannst du nicht tun

Dirk, nochmal (DAU) blöd nachgefragt, was kann passieren?

[intimeout]

Danke Dirk

[markus247]

Na also, es geht doch Man muss es nur wollen.

Dirk, vielen Dank. Jetzt weiß ich wieder, dass ich zu nachlässig bin...

[21prozent]

Code ausführen - Dinge auf deinem Rechner tun, die du nicht möchtest. Kann alles mögliche sein, je nachdem was das Ziel ist.

Die Bash-Shell ist ein großartiges Werkzeug - supermächtig und wird deswegen von unzählbarer Software verwendet, um mit anderen Anwendungen- und Systemen zu kommunizieren, Prozesse zu starten, etc., etc. Wahnsinnig praktisch, stabil und sehr beliebt bei Entwicklern UND Administratoren. Wir warten und installieren also alle fleißig Updates von allem möglichen und hoffen, dass nix passiert

[intimeout]

Danke Dirk für Deine Ausführungen und Erklärungen.

[oberstklink]

Als Ahnungsloser verstehe ich die Aufregung nicht.
Diese Sicherheitslücke gibt es seit 20 Jahren und wird sicherlich auch schon genutzt. Sicher gibt es weitere Lücken.

An meiner Wohnungstür ist ein Schloss. Mir ist bekannt das da einer mit einem Zweitschlüssel einbrechen kann.
Ich nutze seit 5 Jahren Ubuntu als Betriebssystem. Laut Test sind alle von mir verwendeten Versionen von dieser Sicherheitslücke betroffen.

[dj74]

Ubuntu hat bereits reagiert, du musst nur die Aktualisierungen einspielen:

aptitude update && aptitude upgrade