Hallo,

wie ihr sicher schon gelesen habt http://www.trojaner-board.de/159078-...gestanden.html

hat bash eine Schwachstelle die Angreifer für die Einschleusung eigener Befehle nutzen könnten. Zwar betrifft es hauptsächlich Server die per CGI und bash-Scripting zurückgreifen. Diese sind in den meisten Fällen ältere Server-Versionen. Dennoch kann die Schwachstelle in Bash auch auf Rechner die auf Server-Basierte Anwendungen zurückgreifen wie z.B. CUPS ausgeführt werden.

Der Nachfolgede Patch schließt die Lücke auf Mac OSX. Für Linux werden die Patches über den Update-Kanal durchgeführt was leider bei Apple nicht der Fall ist. Bis also das System aktualisiert wird kann man sich mit den nachfolgenden Patch zumindest die Ausführung verhindern.

Die Ausführung der nachfolgenden Schritte wurde mit Mac OSX Mavericks 10.9.5 getestet. Für ältere Versionen Lion usf. kann ich keine Garantie übernehmen! Die Ausführung der Befehle besonders für weniger erfahrene Nutzer geschieht auf eigene Gefahr. Ein Tippfehler kann gerade in Verbindung mit "sudo" unvorhersehbare Folgen haben für die ich nicht die Verantwortung übernehme!.


Vorbereitung 1: XCode

Wer XCode noch nicht installiert hat sollte es jetzt über den App-Store herunterladen und installieren.

Anschließend öffnet bitte die Kommandozeile und gibt folgendes ein:

Code: Alles auswählenAufklappen

ATTFilter

sudo xcode-select --install
         

Nachdem ihr die Lizenzbedingungen akzeptiert habt werden die Command Line Tools aktualisiert.

Vorbereitung 2: Bash und sh prüfen

Mit den nachfolgenden Befehl könnt ihr überprüfen ob eure Version der Shell betroffen ist:

Code: Alles auswählenAufklappen

ATTFilter

bash --version
env x="() { :;} ; echo shellbug " /bin/sh -c "echo trojaner-board"
         

Solltet ihr nun die Meldung "Shellbug" erhalten so ist eure bash betroffen.

Patch herunterladen und installieren:

Führt bitte folgende Schritte aus um den Patch zu installieren:

Verzeichnis für den Patch erstellen und wechseln

Code: Alles auswählenAufklappen

ATTFilter

mkdir bash-patch
cd bash-patch
         

bash-quellcode von apple herunterladen, patch herunterladen und entpacken

Code: Alles auswählenAufklappen

ATTFilter

curl https://opensource.apple.com/tarballs/bash/bash-92.tar.gz | tar zxf -
cd bash-92/bash-3.2
curl https://ftp.gnu.org/pub/gnu/bash/bash-3.2-patches/bash32-052 | patch -p0
cd ..
         

Compilieren..

Code: Alles auswählenAufklappen

ATTFilter

xcodebuild
         

Wenn ihr Probleme, Fehlermeldungen oder ähnliches erhaltet bitte nicht weitermachen sonst überschreibt ihr eure aktuelle bash mit einer nicht funktionierenden Version!. Bei mir lief es fehlerlos durch so das ich denke das es bei euch auch der Fall sein sollte. Sonst hier STOPP!


Kopie der aktuellen bash und sh erstellen

Code: Alles auswählenAufklappen

ATTFilter

sudo cp /bin/bash /bin/bash_old
sudo cp /bin/sh /bin/sh_old
         

Versionen der Kompilierten Programme abfragen...

Code: Alles auswählenAufklappen

ATTFilter

build/Release/bash --version
build/Release/sh --version
         

Ihr solltet jetzt die folgende Version auf eurer Konsole haben

Zitat:

GNU bash, version 3.2.52(1)-release (x86_64-apple-darwin13)
Copyright (C) 2007 Free Software Foundation, Inc.

GNU bash, version 3.2.52(1)-release (x86_64-apple-darwin13)
Copyright (C) 2007 Free Software Foundation, Inc.

Wenn man sich jetzt von der Funktionsfähigkeit überzeugt hat, kann man jetzt die kompilierten Versionen in /bin kopieren.

Code: Alles auswählenAufklappen

ATTFilter

sudo cp build/Release/bash /bin
sudo cp build/Release/sh /bin
         

Danach könnt ihr noch mal prüfen ob bash einwandfrei läuft

Code: Alles auswählenAufklappen

ATTFilter

bash --version
         

Ihr müsstet jetzt die Version 3.2.52(1)-release (x86_64-apple-darwin13)

erhalten.

Aus Sicherheitsgründen und nach Test der neuen Versionen solltet ihr bei den alten Versionen das bit mit dem die alte bash ausgeführt wird, abschalten.

Code: Alles auswählenAufklappen

ATTFilter

sudo chmod a-x /bin/bash_old /bin/sh_old
         

Macports

Wer Macports verwendet sollte die Ports aktualisieren.

Code: Alles auswählenAufklappen

ATTFilter

sudo port selfupdate
sudo port upgrade outdated
         

So das war's falls es Probleme gibt bitte melden.

Gruß,
-dante

Pnikmache

Zitat:

Zitat von Acid303

Pnikmache

hxxp://arstechnica.com/security/2014/09/concern-over-bash-vulnerability-grows-as-exploit-reported-in-the-wild/

War dafür das Sicherheitsupdate, das es heute früh bei Ubuntu gab?

Zitat:

Zitat von Fragerin

War dafür das Sicherheitsupdate, das es heute früh bei Ubuntu gab?

Meine aktuellen Ubuntu- und Debian-Systeme (Wheezy, Version 7.6) waren schon nicht mehr verwundbar als ich das erste mal von der Lücke abends las, aber ich spiel erst immer alle Updates ein bevor ich irgendwas anderes mache und mein Rechner gerade hochgefahren ist.
Wir haben auch boch 2x oldstable von Debian (also Squeeze Version 6.0.10) wo bash noch verwundbar ist.

Wie ich vernommen hab, hatte der Patch, der diese Lücke schließen sollte, auch eine Lücke gehabt. Möglicherweise wurde diese geschlossen. BTW, in dem Aktualisierungscenter kannst du dir auch detailierte Infos über ein (Update-)Paket anzeigen lassen

BTW: die Standardshell von Debian und Ubuntu ist die dash, nicht bash, d.h. /bin/sh zeigt auf dash, nicht bash und dash hat diese "Lücke" nicht


Edit: jetzt meldet sich auch apticron nochmal bei mir:

Code: Alles auswählenAufklappen

ATTFilter

The following packages are currently pending an upgrade:

	bash 4.2+dfsg-0.1+deb7u3

========================================================================

Package Details:

Lese Changelogs...
--- Änderungen für bash ---
bash (4.2+dfsg-0.1+deb7u3) wheezy-security; urgency=high

  * Non-maintainer upload by the Security Team.
  * Add variables-affix.patch patch.
    Apply patch from Florian Weimer to add prefix and suffix for environment
    variable names which contain shell functions.
  * Add parser-oob.patch patch.
    Fixes two out-of-bound array accesses in the bash parser.

 -- Salvatore Bonaccorso <carnil@debian.org>  Thu, 25 Sep 2014 21:43:01 +0200

bash (4.2+dfsg-0.1+deb7u2) wheezy-security; urgency=high

  * Non-maintainer upload by the Security Team.
  * Add CVE-2014-7169.diff diff.
    CVE-2014-7169: Incomplete fix for CVE-2014-6271. (Closes: #762760, #762761)

 -- Salvatore Bonaccorso <carnil@debian.org>  Thu, 25 Sep 2014 07:23:43 +0200
         

Update MacOS: ShellShock-Bug: Apple will OS X "bald" abdichten | heise online

Ja, dieser Fehler ist aber in "geheimen" Kreisen schon mehr als 5 Jahre bekannt und von Hackern sehr gerne ausgenutzt worden..

Trotzdem soll man sich nicht ganz sicher fühlen, das Bash ist, nach neusten Checks immer noch nicht ganz sicher...
Es ist also immer noch möglich, auf einen Server , Malware hochzuladen und zu starten.

Ich sag nur: XSS (das Uploadscript) und dann mit Bash ausführen

Also eig. noch ganz simpel..
Mal schauen, wann die da dann nachbessern..

Zitat:

Zitat von Spitzel

Ja, dieser Fehler ist aber in "geheimen" Kreisen schon mehr als 5 Jahre bekannt und von Hackern sehr gerne ausgenutzt worden..

Quelle?

Zitat:

Zitat von Spitzel

Ich sag nur: XSS (das Uploadscript) und dann mit Bash ausführen
Also eig. noch ganz simpel..

Oh, das erläuter doch mal bitte wenn es sooo einfach ist

Zitat:

Zitat von cosinus

Quelle?



Oh, das erläuter doch mal bitte wenn es sooo einfach ist

Na, Ich würde sagen, ich kenne mich schon ganz gut aus :=)

Na, wenn ich das jetzt erkläre, kommen alle Script - Kiddys und meinen, dass sie cool sind, weil sie das wissen haha

Hm, doch nur Heißluft?
Kannst ja wenigstens die Quelle nennen.

Zitat:

Zitat von cosinus

Hm, doch nur Heißluft?
Kannst ja wenigstens die Quelle nennen.

Ich sag jetzt einfach mal:

hxxp://www.heise.de/newsticker/meldung/Angriffe-auf-ShellShock-Luecke-haeufen-sich-2404562.html

Mal ne Zwischenfrage:
Ist cygwin auch betroffen?
Also nicht dass ich jetzt davon ausgehe dass irgendeiner auf mein cygwin zugreift, dann hätte er ja schon bessere Dinge auf meinem PC zu tun. *pfeiff*

Zitat:

Zitat von Spitzel

Ich sag jetzt einfach mal:

hxxp://www.heise.de/newsticker/meldung/Angriffe-auf-ShellShock-Luecke-haeufen-sich-2404562.html

Ich hab da eigentlich mehr erwartet, schade, ich dachte ja du erklärst es mal in deinen eigenen Worten statt einfach nur News-Artikel zu verlinken.

Zitat:

Zitat von PhiK

Mal ne Zwischenfrage:
Ist cygwin auch betroffen?
Also nicht dass ich jetzt davon ausgehe dass irgendeiner auf mein cygwin zugreift, dann hätte er ja schon bessere Dinge auf meinem PC zu tun. *pfeiff*

Was auch immer du da mit cygwin machst. Wenn es bash in der verwundbaren Variante hat: ja!
Ob das ein Risiko für dich ist musst du selber wissen. Das Problem ist ja erst eins, wenn ein Server mit verwundbarem bash Dienste nach draußen anbietet.

Also der Verwundbarkeits-Test mit shellbug hat angeschlagen. Gibts eigentlich irgendwelche Möglichkeiten das zu patchen? Hab das eh nur als shell util. drauf, darum ist's eig. auch egal.