Mageia Forum

[doktor5000]

Schön und wann kommt das zweite Update bei Mageia?

Auch du kannst in den oben geposteten Bugreport schauen wie weit es damit ist.

[Alf1967]

Laut Bugreport soll die 2. Lücke (CVE-2014-7169) gefixt sein, aber bei dem Test der bei Wikipedia angeben ist wird bei mir immer noch das Datum angezeigt anstatt: No such file or directory

Code: Alles auswählen

$ env X='() { (a)=>\' sh -c "echo date"; cat echo
sh: X: Zeile 1: Syntaxfehler beim unerwarteten Wort `='
sh: X: Zeile 1: `'
sh: Fehler beim Importieren der Funktionsdefinition für `X'.
date
Sa 27. Sep 21:53:39 CEST 2014


Beim gestrigen Update war bei mir auch die Bash dabei!

[doktor5000]

am Sep 29th, '14, 22:34
[...]
Sa 27. Sep 21:53:39 CEST 2014

Mal versuchen, zu verstehen was du da ausführst ist nicht drin? Hat es nicht wenigstens geklingelt, dass dir "date" heute die Zeit vom Samstag anzeigt ?

[jkowalzik]

Hallo!

Habe ich richtig mitgezählt, heute 30.09.14, kam die dritte Bass-Aktualisierung vorbei ?

Gruß
J.

[lula]

Hallo,

@Jürgen, wenn der Bass aktualisiert (vermutlich mit neuen Saiten) ist, dann ist ja alles wieder gut
scnr Lutz

[jkowalzik]

Hallo!
Natürlich war BASH gemeint.
Aber auf alle Fälle, der "tiefe Ton" macht die Musik, alles andere klingt dünn.
Gruß
J.

[doktor5000]

FWIW, da einige ja Probleme beim Testen hatten, hier eine simple Methode dafür, siehe auch https://forums.mageia.org/en/viewtopic. ... =14#p51861

Code: Alles auswählen

wget https://raw.githubusercontent.com/hannob/bashcheck/master/bashcheck -O bashcheck.sh && chmod +x bashcheck.sh


Dann ausführen, Resultat sollte so aussehen:

[doktor5000@Mageia4 ~]$ ./bashcheck.sh
Not vulnerable to CVE-2014-6271 (original shellshock)
Not vulnerable to CVE-2014-7169 (taviso bug)
Not vulnerable to CVE-2014-7186 (redir_stack bug)
Test for CVE-2014-7187 not reliable without address sanitizer
Variable function parser inactive, likely safe from unknown parser bugs
[doktor5000@Mageia4 ~]$

[Alf1967]

Also ist Mageia immernoch anfällig für 2 Bugs:

Not vulnerable to CVE-2014-6271 (original shellshock)
Not vulnerable to CVE-2014-7169 (taviso bug)
Not vulnerable to CVE-2014-7186 (redir_stack bug)
Test for CVE-2014-7187 not reliable without address sanitizer
Vulnerable to CVE-2014-6277 (lcamtuf bug #1) [no patch]
Vulnerable to CVE-2014-6278 (lcamtuf bug #2) [prefix/%%-suffix]
Variable function parser inactive, likely safe from unknown parser bugs

(Die fett markierten Zeilen)

Grade ausgeführt und das heutige Update habe ich eingespielt.

[doktor5000]

Da geht dir die Muffe, gell?

Siehe letzten Post: https://forums.mageia.org/en/viewtopic. ... =14#p51864

[Alf1967]

Da geht dir die Muffe, gell?

Siehe letzten Post: https://forums.mageia.org/en/viewtopic. ... =14#p51864

You are not authorised to read this forum.

Geheimpost darf ich nicht lesen.
Ich hab keine NSA-ID!

[doktor5000]

Ist eine globale Ankündingung, welche in jedem Forum erscheint, folglich ändert sich auch immer der Link. Der sollte tun:
https://forums.mageia.org/en/viewtopic. ... f=2#p51864

[Alf1967]

Wenn mich Google-Translate nicht anlügt steht da auch nichts anderes als ich schon geschrieben hab. Und das du es in bugzilla eingefügt hast wäre einfacher gewesen hier zu schreiben, anstatt den Link mehrmals rauszusuchen und hier einzufügen.

[doktor5000]

Nein, weil ich nicht jeden Unfug doppelt tippe - einmal im internationalen Forum und einmal für dich. Daher der Link, gerne auch mehrmals.
Und wenn du dort den Link zum Bugreport folgst, und die drei letzten Kommentare liest vom Meister unseres Security-Teams liest (und verstehst),
sollte auch klar werden dass diese beiden Parser-Schachstellen momentan vorhanden sind, aber nicht ausgenutzt werden können.