Forum: Netzwelt
Shellshock: Schwere Sicherheitslücke bedroht Macs und Linuxrechner
Chealer

Ein Leck in einem Uralt-Programm, das auf vielen Unix- und Linux-Rechnern läuft, bedroht deren Sicherheit. Experten sprechen von Ausmaßen wie beim Heartbleed-Bug. Auch Apple-Rechner sind betroffen. Es gibt einen einfachen Selbsttest.

Seite 1 von 11
count_zer0 25.09.2014, 15:46
1. Halb so wild...

bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'

Wenigstens kommen auf Linux die Patches sehr zeitnah. Hatte das Update schon auf dem Rechner, bevor heise & Co den Bug ueberhaupt gemeldet hatten.

Beitrag melden Antworten / Zitieren
sibekar 25.09.2014, 15:55
2. Fehler im Script

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable

So klappt es auch mit dem Nachbarn ;-)... oder kurz gesagt, einfach das Dollarzeichen ignorieren *grins* - was gescheiter "Linux" Nutzer ja von Natur aus macht.

Und ein bisschen viel Lärm um nüscht.
Man bereits Zugang zur Shell, sodass man Umgebungsvariablen setzen kann die wiederum in anderen Skripten zur Verwendung kommen. Damit lassen sich dann beliebige Befehle in Form von Bash-Functions ausführen, mit den Rechten des Benutzers der die Bash-Function aufruft.

Kurz ... ohne Adminrechte - keine Party

Beitrag melden Antworten / Zitieren
count_zer0 25.09.2014, 15:59
3.

Zitat von sibekar
oder kurz gesagt, einfach das Dollarzeichen ignorieren *grins*
Das ist kein Fehler. Das Dollarzeichen kennzeichnet in solcherlei Codeschnipseln normalerweise den Eingabeprompt.

Beitrag melden Antworten / Zitieren
bauerbob 25.09.2014, 16:00
4. Panikmache

Der bug kann nur ganz selten remote ausgenutzt werden.

Beitrag melden Antworten / Zitieren
hansgustor 25.09.2014, 16:01
5. Details

Ist nicht so schlimm wie Heartbleed, da man Zugriffsberechtigungen auf den Rechner besucht. Privatanwender müssen sich wenig Sorgen darüber machen: http://security.stackexchange.com/a/68125/46416

Beitrag melden Antworten / Zitieren
cyc2 25.09.2014, 16:09
6. nicht so schlimm

Man haette vielleicht erwaehnen sollen, dass das nur ein Problem ist wenn bash von einem Server-Prozess ausgerufen wird, der Informationen von aussen als Umgebungsvariablen ungeprueft an bash weitergibt. Ein normaler Linux-Nutzer und auch die meisten Server sind nicht betroffen.

Beitrag melden Antworten / Zitieren
matthatter 25.09.2014, 16:09
7. Wenn schon warnen, dann richtig...

Lieber das fuehrende Dollarzeichen in der Testzeile weglassen. Sonst funzt's nicht und erzeugt ein falsches
Sicherheitsgefuehl.

Beitrag melden Antworten / Zitieren
Turin 25.09.2014, 16:09
8. Ohne Adminrechte keine Party

Sehr schön zusammengefasst.
Und ich glaube kaum ein Linux User ist (anders als bei Windoof) im Alltag unbewusst als Admin unterwegs.

Beitrag melden Antworten / Zitieren
schraenko 25.09.2014, 16:10
9. What?

Lieber SPON, an wen ist denn bitte dieser Artikel gerichtet?
Menschen, denen man erklären muss, was eine bash ist, brauchen diesen Artikel sicher nicht. Leute, die wissen was eine Bash ist, haben die Info heute morgen schon auf heise oder Golem gelesen, imho in einer fachlich ansprechenderen Version.

Als ich heute morgen von dem bug gelesen habe war der auf Debian schon gefixed. Die anderen großen Distros waren sicher nicht langsamer.
Insofern kann man den Artikel höchsten als Aufruf zum flame war werten, bzw. als Munition für Münchner Oberbürgermeister.

Beitrag melden Antworten / Zitieren
Seite 1 von 11