Mageia Forum

[unklar]

Hallo Leute,

da ich auf News und Bekanntmachungen kein Thema eröffnen kann, hier:
http://www.heise.de/newsticker/meldung/ ... 03305.html

Alle sind betroffen, jetzt um 12.05 Uhr bekomme ich unter mga4 noch das Ergebnis

Code: Alles auswählen

[unklar@mga4kde ~]$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test
[unklar@mga4kde ~]$ su
Passwort:
[root@mga4kde unklar]# urpmi --auto-update
Medium »Core Release (distrib1)« ist auf dem aktuellen Stand
Medium »Core Updates (distrib3)« ist auf dem aktuellen Stand
Medium »Nonfree Release (distrib11)« ist auf dem aktuellen Stand
Medium »Nonfree Updates (distrib13)« ist auf dem aktuellen Stand
Medium »Tainted Release (distrib21)« ist auf dem aktuellen Stand
Medium »Tainted Updates (distrib23)« ist auf dem aktuellen Stand
Medium »Core 32bit Release (distrib31)« ist auf dem aktuellen Stand
Medium »Core 32bit Updates (distrib32)« ist auf dem aktuellen Stand
Medium »Nonfree 32bit Release (distrib36)« ist auf dem aktuellen Stand
Medium »Nonfree 32bit Updates (distrib37)« ist auf dem aktuellen Stand
Medium »Tainted 32bit Release (distrib41)« ist auf dem aktuellen Stand
Medium »Tainted 32bit Updates (distrib42)« ist auf dem aktuellen Stand
Die Pakete sind auf dem aktuellen Stand


Ich hoffe, unsere Jungs kriegen das schnell in den Griff und ihr könnt alle updaten!!

[doktor5000]

Da hängst du ganz schön hinterher, Update gibt es seit gestern:
https://forums.mageia.org/en/viewtopic.php?f=5&t=8487

[Alf1967]

Ich hatte gestern bevor die Meldung auf Heise kam das Update schon installiert gehabt. Da ich der Sache nicht getraut habe habe ich den Test auch ausgeführt und das Ergebnis war negativ, also meine Bash war nicht (mehr) verwundbar.

[man-draker]

Ich hoffe, unsere Jungs kriegen das schnell in den Griff und ihr könnt alle updaten!!

Schätzeken, würdest du dich dann besser fühlen?

Erklär doch mal, wo bei deinem Linux-Einsatz die konkreten Gefährdungen liegen.

[unklar]

Da hängst du ganz schön hinterher, ..

Hallo dok,
da hänge ich gern hinterher, wenn ihr das schon lange im Griff habt! Danke dafür!!

Allerdings schlafen die bei meiner Quelle

Code: Alles auswählen

ftp://mirror2.tuxinator.org...

noch immer, da das Paket noch nicht zur Verfügung steht.
Das kenne ich von denen gar nicht....

[unklar]

Sorry, die Forensoftware meldete mir wieder mal nicht, den inzwischen von man-draker geposteten Beitrag..

Erklär doch mal, wo bei deinem Linux-Einsatz die konkreten Gefährdungen liegen.

Ich gebe zu, jetzt wird's bei Dir wieder "wissenschaftlich" und ich gebe auch zu, das Folgende aus dem debian-Forum abgeschrieben zu haben

Du meinst "nur" jene, die in Apache "mod_cgi" oder "mod_cgid" aktiviert haben und daran hängende Subshells in C, (system/popen), Python (os.system/os.popen), PHP (system/exec) oder Perl (open/system) aufrufen. Oder "nur" die DHCP-Clients, die über Skripte konfiguriert werden, die oft als "root" aufgerufen werden. "Nur" die SSH-Clients, denen mit "ForceCommand" remote Rechte zugeteilt werden und "nur" die Dämonen und SUID-Programme, die eine Shell aufrufen.

weil es mir sehr logisch erscheint.

Bei mir auf dem System hat das Leck wahrscheinlich keine unmittelbaren Auswirkungen. Aber, ebenso könnte ich da Dich zurückfragen, warum Du z.B.
bei Banking-Software so erbicht auf den i-Punkt bist der Leser 3 betreffend. Ich will nicht daraufhinaus, das das Dein -oder mein Geld ja betrifft.
Ich will dies mal so beschreiben: "Wasser in die Mulde tragen."

[doktor5000]

Allerdings schlafen die bei meiner Quelle

Code: Alles auswählen

ftp://mirror2.tuxinator.org...

noch immer, da das Paket noch nicht zur Verfügung steht.
Das kenne ich von denen gar nicht....

Letzter Sync gestern 15:30 : http://mirrors.mageia.org/status

Allerdings ist das Update nicht ganz komplett, siehe https://bugzilla.redhat.com/show_bug.cgi?id=1141597#c27 für mehr Details und https://access.redhat.com/articles/1200223 für interimsweise Workarounds.

[man-draker]

Bei mir auf dem System hat das Leck wahrscheinlich keine unmittelbaren Auswirkungen.

Genau. Und bei mir zu Hause auch nicht. Daher ist es natürlich gut, das Thema zu erwähnen, aber der Ball kann flach gehalten werden.

Aber, ebenso könnte ich da Dich zurückfragen, warum Du z.B.
bei Banking-Software so erbicht auf den i-Punkt bist der Leser 3 betreffend. Ich will nicht daraufhinaus, das das Dein -oder mein Geld ja betrifft.
Ich will dies mal so beschreiben: "Wasser in die Mulde tragen."

Können wir uns gerne drüber austauschen, aber dann wohl eher im Sandkasten.

[Alf1967]

Können wir uns gerne drüber austauschen, aber dann wohl eher im Sandkasten.

Wo bist du denn hier?

[man-draker]

Können wir uns gerne drüber austauschen, aber dann wohl eher im Sandkasten.

Wo bist du denn hier?

Ups.

[Alf1967]

Auch wenn es hier kaum jemanden betrifft, in dem Update sind immer noch gravierende Sicherheitslücken laut Heise. http://heise.de/-2403607

[doktor5000]

Auch wenn es hier kaum jemanden betrifft

Aha, warum betrifft es hier kaum jemanden?

Ansonsten, wer lesen kann, ist klar im Vorteil, das hatte ich gestern bereits gepostet.

Allerdings ist das Update nicht ganz komplett, siehe https://bugzilla.redhat.com/show_bug.cgi?id=1141597#c27 für mehr Details und https://access.redhat.com/articles/1200223 für interimsweise Workarounds.

Mageia-Bugreport für CVE-2014-7169: https://bugs.mageia.org/show_bug.cgi?id=14169

[Alf1967]

Auch wenn es hier kaum jemanden betrifft

Aha, warum betrifft es hier kaum jemanden?

Weil die meisten die hier schreiben, so wie ich das rauslese, einen Mageiadesktop haben und die Lücke nur Server betrifft.

das hatte ich gestern bereits gepostet.

Das hatte ich grad übersehen.

[alf]

Weil die meisten die hier schreiben, so wie ich das rauslese, einen Mageiadesktop haben und die Lücke nur Server betrifft.

Na ja, so ganz stimmt das nicht. Zumindest mag man nicht ausschließen dass eine Bedrohung durch Browser-Plugins bzw. Erweiterungen vorhanden sein könnte.
Damit wären wir wohl alle betroffen.

https://access.redhat.com/articles/1200223 siehe dort unter Firefox.
@Alf1967 diese Information habe ich nicht auf Deutsch finden können.

[wanne]

Prinzipiell steckt im dhclient auch die bash. (Das Ding gehört eigentlich sowieso geschlagen.) Der dürfte auch bei desktopusern sehr verbreitet sein.
Sonst ist die bash ja nicht linux spezifisch. Die Mac OS X ler setzen die auch sehr exzessiv ein.

[doktor5000]

Weil die meisten die hier schreiben, so wie ich das rauslese, einen Mageiadesktop haben und die Lücke nur Server betrifft.

Na ja, so ganz stimmt das nicht. Zumindest mag man nicht ausschließen dass eine Bedrohung durch Browser-Plugins bzw. Erweiterungen vorhanden sein könnte.

Es ist momentan noch unklar, was alles betroffen ist. Es sind wohl alle bash-Versionen betroffen, und das wird nicht nur auf Servern und Desktops eingesetzt,
sondern auch im Embedded-Bereich, in Appliances, in Routern ... etc. pp.

Siehe auch die zweite Hälfte von http://www.troyhunt.com/2014/09/everyth ... about.html

[man-draker]

Betroffenheit ungleich Gefährdung.

Die Betroffenheit kann gegeben, die Intensität der Gefährdung aber höchst unterschiedlich sein.

Server im Internet mit verwundbaren Diensten: Betroffen ja, Gefährdung hoch. Dringend Maßnahmen erforderlich.
Desktop zu Hause: Betroffen ja. Gefährdung gering. Abwarten, bis Update kommt. Bis dahin: Hopfentee. (Hallo Jürgen. )
Desktop/Server in Firma: Irgendwo dazwischen.

[Alf1967]

Prinzipiell steckt im dhclient auch die bash. (Das Ding gehört eigentlich sowieso geschlagen.) Der dürfte auch bei desktopusern sehr verbreitet sein.
Sonst ist die bash ja nicht linux spezifisch. Die Mac OS X ler setzen die auch sehr exzessiv ein.

Heise schreibt im letzten Abschnitt, daß so gut wie kein Router betroffen ist da dort andere Shells eingesetzt werden. Inwieweit das für die Router der Massenhersteller, die die Router für den Privatbereich herstellen zutrifft, weiß ich nicht.

[wanne]

Desktop zu Hause: Betroffen ja. Gefährdung gering.

Heise schreibt im letzten Abschnitt, daß so gut wie kein Router betroffen ist da dort andere Shells eingesetzt werden. Inwieweit das für die Router der Massenhersteller, die die Router für den Privatbereich herstellen zutrifft, weiß ich nicht.

Ja, die Router nicht. Die heimrouter haben alle nur so 2-4MiB persistenten Speicher, da ist eine Bash mit einem MiB nciht so gern gesehen. Aber das mit den Desktops ist nicht so harmlos. Mir gieng es um den dhclient.=> Wer DHCP (autokonfiguration im Netzwerk) angeschaltet hat ist zumindest aus dem lokalen Netzwerk voll angreifbar. (D.h. im zweifelsfall root-login ohne PW.)
Das gilt auch für VPNs und WLANs...
Beonders blöd wird dass dann mit einer anderen SIcherheitslücke im Router, die ja auch nicht so selten sind. Dann wird aus einer kaputten routerfirewall plötzlich ein root-login aus dem Internet. Da wünscht man sich einmal mehr die Modems zurück.

[man-draker]

Wer DHCP (autokonfiguration im Netzwerk) angeschaltet hat ist zumindest aus dem lokalen Netzwerk voll angreifbar. (D.h. im zweifelsfall root-login ohne PW.)
Das gilt auch für VPNs und WLANs...
Beonders blöd wird dass dann mit einer anderen SIcherheitslücke im Router, die ja auch nicht so selten sind. Dann wird aus einer kaputten routerfirewall plötzlich ein root-login aus dem Internet.

Du darfst auf keinen Fall die Erdstrahlen vergessen.
Rein statistisch gesehen ist ein Schaden durch sie ebenso wahrscheinich.

[jkowalzik]

Du darfst auf keinen Fall die Erdstrahlen vergessen.
Rein statistisch gesehen ist ein Schaden durch sie ebenso wahrscheinlich.

Hallo!
Du bist auch mal wieder gehässig, eine Gefahr ist eine Gefahr und jeder reagiert nun mal anders auf ein Gefährdungspotential. Ich setze mich z.B. aufs Motorrad und spule mal locker 500km runter, andere würden sich nicht mal im Übungspark drauf setzen, auch wenn das Gerät Stützräder hätte.
"Zwei Männer zwei Meinungen, zwei Frauen drei Meinungen" es ist fast unmöglich unter mehreren einen vernünftigen Konsens her zu stellen. 95% der Computernutzer geht einen ganz anderen Weg: "Zahlen und sich wohlfühlen". Der gekaufte Schutz wirds schon richten.

Gruß
J.

[wanne]

Du darfst auf keinen Fall die Erdstrahlen vergessen.
Rein statistisch gesehen ist ein Schaden durch sie ebenso wahrscheinich.

Mit verlaub: Das ist Quatsch.
Moderne Würmer nutzen oftmals mehr als zwei Schwachstellen. Und das ist zu verlockend als dass das keiner Probiert. Gerade viele Botnetbetreiber werden schon auf fertigen Lücken in routern sitzen und jetzt die Gunst der Stunde nutzen, die auch benutzen zu können. Das geht nicht ganz so schnell wie mit den schönen einzeilgen Scripten für die Webserver aber ich denke bis in ein paar Wochen, wird das bei vielen proffessionelleren einzug halten.

[unklar]

Hallo @Alf1967,

extra für Dich gefunden:
http://de.wikipedia.org/wiki/Shellshock ... 3%BCcke%29

[man-draker]

Moderne Würmer nutzen oftmals mehr als zwei Schwachstellen. Und das ist zu verlockend als dass das keiner Probiert. Gerade viele Botnetbetreiber werden schon auf fertigen Lücken in routern sitzen und jetzt die Gunst der Stunde nutzen, die auch benutzen zu können. Das geht nicht ganz so schnell wie mit den schönen einzeilgen Scripten für die Webserver aber ich denke bis in ein paar Wochen, wird das bei vielen proffessionelleren einzug halten.

Ich sehe es ein: Du willst Angst haben.

Da ist der Verstand halt deaktiviert.

[Alf1967]

Hallo @Alf1967,

extra für Dich gefunden:
http://de.wikipedia.org/wiki/Shellshock ... 3%BCcke%29

Schön und wann kommt das zweite Update bei Mageia? Andere haben es schon seit weit über 24 Stunden draußen. http://heise.de/-2404562

Und jetzt kommt nicht wieder mit altem Updateserver, meiner hat sich vor weniger als 12 Stunden aktualisiert, laut Statusseite.