Forum: Netzwelt
Bash-Bug: Apple stopft Sicherheitslücke in OS X

Apple hat ein Update veröffentlicht, das die "Shellshock" genannte Sicherheitslücke in OS X verschließt. Gerade noch rechtzeitig, denn Kriminelle versuchen bereits, die Schwachstelle im großen Stil auszunutzen.

dunkelpeter 30.09.2014, 12:48
1. welche Lücke?

Wer seinen Mac als Web-Server öffentlich im Internet zugänglich macht und dazu CGI (ein Standard, der seit vielen Jahren veraltet ist) nutzt, ohne hier die Interaktionen zu prüfen, der hat nun eine Lücke geschlossen.
CGI war schon immer ein Sicherheitsrisiko, genauso wie SQL-Befehle über Benutzereingabe ungeprüft aufzubauen.

Beitrag melden Antworten / Zitieren
Konstruktor 30.09.2014, 13:24
2.

Zitat von dunkelpeter
Wer seinen Mac als Web-Server öffentlich im Internet zugänglich macht und dazu CGI (ein Standard, der seit vielen Jahren veraltet ist) nutzt, ohne hier die Interaktionen zu prüfen, der hat nun eine Lücke geschlossen. CGI war schon immer ein Sicherheitsrisiko, genauso wie SQL-Befehle über Benutzereingabe ungeprüft aufzubauen.
Und deshalb ist der Artikel eine extreme Verzerrung der Prioritäten, denn die Lücke betrifft primär Linux- und sonstige Unix-Server im Internet und nur sehr wenige Macs.

Der Artikel stellt das so dar, als wären alle Macs ganz schlimm betroffen und das wäre überhaupt das Hauptproblem, was aber völliger Blödsinn ist.

Wer seinen Mac nicht als Server benutzt und "Remote Login" im Sharing-Kontrollfeld ausgeschaltet hat, ist in der Regel nicht betroffen und kann getrost das nächste reguläre Update abwarten.

Wer seinen Mac speziell als Server konfiguriert hat und dabei die Bash von außen ansprechbar gemacht hat (direkt als Login-Shell oder über andere Dienste wie CGI), für den ist das Vorab-Update aber durchaus sinnvoll. Nur sind das eher wenige.

Beitrag melden Antworten / Zitieren
sikasuu 30.09.2014, 14:00
3. Bash-Bug und OSX?

Es ist vollkommen uninterressant ob OSX davon betroffen ist. Die Bash hattte einen HAU!.
.
Spannend ist es aber, das Tage nach dem auf UNIX-Systemen die Fixe schon raus waren, Apple jetzt auch reagiert.
.
Lücken kommen in lannen Programmen vor, (MS$ lässt da grüssen:-)), aber die Bash-Lücke ist nun wirklich nicht die Welt.
.
WER hat auf wichtigen Srevern wohl einen Shellaccount? Der "Hacker" muss da erst einmal reinkommen und es kostet 10 Minuten "scripten" und ein paar Sekunden Laufzeit, für den Übergang die Bash durch die tcsh zu ersetzen:-)) wenn man die nicht einfach umbenennt, einen symlink baut, um die orginal-bash bis zum Ptach zu fixen.
.
Süss sind aber die Reaktionen von überzegten Mac'ies.
.
"Betrifft ja hauptsächlich die "unsicheren" Linux, UNIX Systeme!" Hallo, OSX basiert auf dem FreeBSD 4.7 und einem Machkernel:-)) alles nur (erlaubt) geliehen:-))

Beitrag melden Antworten / Zitieren
MacKernobst 30.09.2014, 15:29
4. Wer lesen kann ...

Zitat von Konstruktor
... Der Artikel stellt das so dar, als wären alle Macs ganz schlimm betroffen und das wäre überhaupt das Hauptproblem, was aber völliger Blödsinn ist. ...
Zitat aus dem Artikel:
"Das sicher nicht, denn der Fehler (offizielle Bezeichnung CVE-2014-6271) betrifft nur Maschinen, die als Server aus dem Internet ansprechbar sind - und damit nur wenige Nutzer von Apple-Computern. Trotzdem hat Apple in diesem Fall schnell reagiert und heute ein Sicherheits-Update veröffentlicht: ......"

Beitrag melden Antworten / Zitieren