bash-konsole hat neurose…

Wer Linux nutzt, brauch‘ eine Konsole. Davon gibt es einige, meist mit Wurzeln in Unix: sh, dash, bash, busybox; da bash ein freier GNU-Rewrite der sh ist, kommt diese eben auf so ziemlich allen Linux-Systemen zum Zug.

Und da draußen Krieg herrscht, hat die Gute eine Kriegsneurose (shell shock) gekriegt:

„The vulnerability is present in Bash up to and including version 4.3, and was discovered by Stephane Chazelas. It puts Apache web servers, in particular, at risk of compromise: CGI scripts that use or invoke Bash in any way – including any child processes spawned by the scripts – are vulnerable to remote-code injection. OpenSSH and some DHCP clients are also affected on machines that use Bash“

[via]

Nee, das ist natürlich Quatsch. Ein bisschen. Der Bug scheint 22(!) Jahre alt zu sein und hängt damit zusammen, wie die bash mit Umgebungsvariablen agiert. Ach so: Der Bug hier ist eventuell sogar schlimmer als „Heartbleed“. o.O

Ob die eigene Maschine betroffen ist, lässt sich herausfinden, indem man die folgende Zeile in seiner/ihrer Konsole ausführt:

env x='() { :;}; echo mich hats erwischt T_T' bash -c "echo dies ist ein Test"

Wenn eure Konsole nun sagt, „mich hats erwischt T_T“, dann habt ihr diese Neurose.

In dem Fall hilft nur: Rechner umgehend aus dem Fenster werfen!11 Oder Updates einspielen. Sofern es welche gibt.

Da Linux das bevorzugte Betriebssystem von Servern ist, dürfte das komplette Internet betroffen sein. Tut man nichts hiergegen, können, theoretisch, Programmcodes ausgeführt werden, die nicht von einem selbst stammen. Klingt lustig, ist es aber nicht. Da das einfach zu exploiten ist, freut euch die nächsten Wochen über Copy&Paste-Script-Kiddies an jeder Ecke des Web.

Übrigens sind auch Apple-Systeme von diesem Bug betroffen: Warum die die bash nutzen kann ich nicht sagen, ist aber so. Auch hier müsste direkt Apple aktiv werden, also checkt eure Updates.

Arme bash! Gute Besserung an dieser Stelle! Scheiß Kriege immer…

[Update I, 18:32]

Bei mir war auch ohne Update nichts zu holen:

bash: Warnung: x: ignoring function definition attempt
bash: Fehler beim Importieren der Funktionsdefinition für `x‘.
dies ist ein Test

Gut, Rechner von mir sind meine Kriege mit ihnen gewohnt. O.O

[Update II, 26.09.14]

Heute morgen in der Bahn bei Slashdot gelesen, die ersten Opfer waren das Werbenetzwerk Akamai und das Verteidigungsministerium der USA. Ja, warum klein anfangen, ne!?

[Update III, 29.09.14]

Nutzte man Canonical/Ubuntu-Derivate hatte man bisher geschissen: Wie viele Updates waren das bis jetzt, 3? 4? Nun ja. Toll ist dies nicht. Einer meiner Uralt-Rechner nutzt Mint. Der war von dem Test betroffen, das Loch wurde aber kurz danach gefixt. Anschließend kamen mindestens zwei weitere Updates.
Ich denke, da wird schon noch was kommen. Die Community arbeitet hart und das ist ein sehr gutes Zeichen. Danke mal an dieser Stelle!

1 Star - nope!2 Stars - meh!3 Stars - good!4 Stars - excellent!5 Stars - supercalifragilisticexpialidocious! (Rate me? // Beitrag bewerten?)
Loading...
Ether spenden // Donate Ether
Bitcoin-Spenden hier akzeptiert ^^

Kommentieren