Bash Fehler

Hinweis: In dem Thema Bash Fehler gibt es 13 Antworten auf 2 Seiten. Der letzte Beitrag () befindet sich auf der letzten Seite.
  • das kann ins Auge gehen.
    die Bash hat laut Heise eine gewaltige Sicherheitslücke.Dabei lassen sich über Umgebungsvariablen auch Code einfügen, der beim Start /Ausführen einer neuen Shell ausgeführt wird. Zumindest unter Factory ist sie noch nicht geschlossen.
    testen kann man das einfach auf der Konsole:

    Code
    env x='() { :;}; echo vulnerable' bash -c "echo nur ein Test"


    kommt als Antwort "vulnerable nur ein Test" dann ist man betroffen.



    grüsse
    wrohr
    Quelle: heise.de

    Erst wenn der letzte FTP Server kostenpflichtig, der letzte GNU-Sourcecode verkauft, der letzte Algorithmus patentiert, der letzte Netzknoten kommerzialisert ist, werdet Ihr merken, dass Manager nicht programmieren können.

    Für den Inhalt des Beitrages 72445 haftet ausdrücklich der jeweilige Autor: wrohr

  • Die Lücke scheint nun unter openSUSE gefixed und das entsprechende update im Repository bereitzustehen.


    Man lese den ersten Link in meinem letzten Beitrag, vor allem ab Beitrag #23 wird es dann interessant.

    Für den Inhalt des Beitrages 72452 haftet ausdrücklich der jeweilige Autor: Sauerland

  • Ich habe den Befehl

    Code
    env x='() { :;}; echo vulnerable' bash -c "echo nur ein Test"


    vor dem heutigen Update in die Konsole eingegeben.


    Ergebnis:

    Code
    vulnerable
    nur ein Test


    --> Also bin ich laut wrohr von der Sicherheitslücke betroffen!


    Dann habe ich die heutigen 3 Updates installiert (u.a. bash Security Fix)


    Anschließend nochmal

    Code
    env x='() { :;}; echo vulnerable' bash -c "echo nur ein Test"


    Ergebnis jetzt:

    Code
    bash: Warnung: x: ignoring function definition attempt
    bash: Fehler beim Importieren der Funktionsdefinition für `x'.
    nur ein Test


    Problem gelöst!?

  • Also bin ich laut wrohr von der Sicherheitslücke betroffen!


    Machst Du denn auch solche Sachen wie in dem 2. Link:

    Für den Inhalt des Beitrages 72454 haftet ausdrücklich der jeweilige Autor: Sauerland

  • Unter "Factory" habe ich noch kein Update bekommen. Die Lücke besteht wohl weiterhin.

    Für den Inhalt des Beitrages 72455 haftet ausdrücklich der jeweilige Autor: tapwag

  • Zitat von Sauerland

    Machst Du denn auch solche Sachen wie in dem 2. Link


    Puh.. dieses Englisch gespickt mit zahlreichen Computer-Fachausdrücken schafft mein Kopf heute kaum.. ;(
    Aber so weit ich verstanden habe scheine ich solche Sachen nicht zu machen!

  • Aber so weit ich verstanden habe scheine ich solche Sachen nicht zu machen!


    Machen die meisten User nicht.


    Die Lücke ist zwar vorhanden, kann aber nicht ausgenutzt werden.


    Daher sage ich nur:
    Ruhig bleiben.

    Für den Inhalt des Beitrages 72457 haftet ausdrücklich der jeweilige Autor: Sauerland

  • Daher sage ich nur:
    Ruhig bleiben.


    Und wenn wir es nicht schaffen. gibt es keine Lösung.
    Entwickler, Programmierer, Das ist ein Aufruf an Euch.
    Aber, ich denke, ohne mein Geschwätz,
    findet die Linux-Gemeinschaft schneller eine Lösung
    als die zwei anderen Syseme, die es auf fast allen
    Rechnern unser Erde gibt!


    Als Alien würde ich sowieso ein System nutzen,
    daß einfach funktioniert!


    Als Auswahl bleibt da nicht mehr viel übrig!


    Da nehmen wir opensuse, einfach zu bedienen,
    einfach zu konfigurieren, und eine Gemeinschaft
    von 18 224 Mitgliedern.
    Was wollen wir mehr?


    Ja, mit dieser Gemeinschaft, ist es wirtschaftlich,
    Wir nehmen Opensuse!