Bash-Bug aka "Shellshock" Patch für Mac OSX
 

Hallo,

wie ihr sicher schon gelesen habt http://www.trojaner-board.de/159078-...gestanden.html

hat bash eine Schwachstelle die Angreifer für die Einschleusung eigener Befehle nutzen könnten. Zwar betrifft es hauptsächlich Server die per CGI und bash-Scripting zurückgreifen. Diese sind in den meisten Fällen ältere Server-Versionen. Dennoch kann die Schwachstelle in Bash auch auf Rechner die auf Server-Basierte Anwendungen zurückgreifen wie z.B. CUPS ausgeführt werden.

Der Nachfolgede Patch schließt die Lücke auf Mac OSX. Für Linux werden die Patches über den Update-Kanal durchgeführt was leider bei Apple nicht der Fall ist. Bis also das System aktualisiert wird kann man sich mit den nachfolgenden Patch zumindest die Ausführung verhindern.

Die Ausführung der nachfolgenden Schritte wurde mit Mac OSX Mavericks 10.9.5 getestet. Für ältere Versionen Lion usf. kann ich keine Garantie übernehmen! Die Ausführung der Befehle besonders für weniger erfahrene Nutzer geschieht auf eigene Gefahr. Ein Tippfehler kann gerade in Verbindung mit "sudo" unvorhersehbare Folgen haben für die ich nicht die Verantwortung übernehme!.


Vorbereitung 1: XCode

Wer XCode noch nicht installiert hat sollte es jetzt über den App-Store herunterladen und installieren.

Anschließend öffnet bitte die Kommandozeile und gibt folgendes ein:

Nachdem ihr die Lizenzbedingungen akzeptiert habt werden die Command Line Tools aktualisiert.

Vorbereitung 2: Bash und sh prüfen

Mit den nachfolgenden Befehl könnt ihr überprüfen ob eure Version der Shell betroffen ist:

Solltet ihr nun die Meldung "Shellbug" erhalten so ist eure bash betroffen.

Patch herunterladen und installieren:

Führt bitte folgende Schritte aus um den Patch zu installieren:

Verzeichnis für den Patch erstellen und wechseln
bash-quellcode von apple herunterladen, patch herunterladen und entpacken
Compilieren..

Wenn ihr Probleme, Fehlermeldungen oder ähnliches erhaltet bitte nicht weitermachen sonst überschreibt ihr eure aktuelle bash mit einer nicht funktionierenden Version!. Bei mir lief es fehlerlos durch so das ich denke das es bei euch auch der Fall sein sollte. Sonst hier STOPP!


Kopie der aktuellen bash und sh erstellen
Versionen der Kompilierten Programme abfragen...
Ihr solltet jetzt die folgende Version auf eurer Konsole haben

Wenn man sich jetzt von der Funktionsfähigkeit überzeugt hat, kann man jetzt die kompilierten Versionen in /bin kopieren.

Danach könnt ihr noch mal prüfen ob bash einwandfrei läuft

Ihr müsstet jetzt die Version 3.2.52(1)-release (x86_64-apple-darwin13)

erhalten.

Aus Sicherheitsgründen und nach Test der neuen Versionen solltet ihr bei den alten Versionen das bit mit dem die alte bash ausgeführt wird, abschalten.


Macports

Wer Macports verwendet sollte die Ports aktualisieren.

So das war's falls es Probleme gibt bitte melden.

Gruß,
-dante

Pnikmache

:pfeiff:

hxxp://arstechnica.com/security/2014/09/concern-over-bash-vulnerability-grows-as-exploit-reported-in-the-wild/

War dafür das Sicherheitsupdate, das es heute früh bei Ubuntu gab?

Meine aktuellen Ubuntu- und Debian-Systeme (Wheezy, Version 7.6) waren schon nicht mehr verwundbar als ich das erste mal von der Lücke abends las, aber ich spiel erst immer alle Updates ein bevor ich irgendwas anderes mache und mein Rechner gerade hochgefahren ist.
Wir haben auch boch 2x oldstable von Debian (also Squeeze Version 6.0.10) wo bash noch verwundbar ist.

Wie ich vernommen hab, hatte der Patch, der diese Lücke schließen sollte, auch eine Lücke gehabt. Möglicherweise wurde diese geschlossen. BTW, in dem Aktualisierungscenter kannst du dir auch detailierte Infos über ein (Update-)Paket anzeigen lassen

BTW: die Standardshell von Debian und Ubuntu ist die dash, nicht bash, d.h. /bin/sh zeigt auf dash, nicht bash und dash hat diese "Lücke" nicht


Edit: jetzt meldet sich auch apticron nochmal bei mir:

Update MacOS: ShellShock-Bug: Apple will OS X "bald" abdichten | heise online

Ja, dieser Fehler ist aber in "geheimen" Kreisen schon mehr als 5 Jahre bekannt und von Hackern sehr gerne ausgenutzt worden..

Trotzdem soll man sich nicht ganz sicher fühlen, das Bash ist, nach neusten Checks immer noch nicht ganz sicher...
Es ist also immer noch möglich, auf einen Server , Malware hochzuladen und zu starten.

Ich sag nur: XSS (das Uploadscript) und dann mit Bash ausführen :)

Also eig. noch ganz simpel..
Mal schauen, wann die da dann nachbessern..

Quelle?

Oh, das erläuter doch mal bitte wenn es sooo einfach ist :D

Na, Ich würde sagen, ich kenne mich schon ganz gut aus :=)

Na, wenn ich das jetzt erkläre, kommen alle Script - Kiddys und meinen, dass sie cool sind, weil sie das wissen haha :D

Hm, doch nur Heißluft?
Kannst ja wenigstens die Quelle nennen.

Ich sag jetzt einfach mal:

hxxp://www.heise.de/newsticker/meldung/Angriffe-auf-ShellShock-Luecke-haeufen-sich-2404562.html

Mal ne Zwischenfrage:
Ist cygwin auch betroffen?
Also nicht dass ich jetzt davon ausgehe dass irgendeiner auf mein cygwin zugreift, dann hätte er ja schon bessere Dinge auf meinem PC zu tun. *pfeiff*

Ich hab da eigentlich mehr erwartet, schade, ich dachte ja du erklärst es mal in deinen eigenen Worten statt einfach nur News-Artikel zu verlinken.

Was auch immer du da mit cygwin machst. Wenn es bash in der verwundbaren Variante hat: ja!
Ob das ein Risiko für dich ist musst du selber wissen. Das Problem ist ja erst eins, wenn ein Server mit verwundbarem bash Dienste nach draußen anbietet.

Also der Verwundbarkeits-Test mit shellbug hat angeschlagen. Gibts eigentlich irgendwelche Möglichkeiten das zu patchen? Hab das eh nur als shell util. drauf, darum ist's eig. auch egal.