WeBLOG
ShellShock: Weitere drei kritische Fehler (28.09.2014)
Die beiden kritischen Sicherheitslücken CVE-2014-7169 und CVE-2014-6271 wurden bei den meisten Linux-Ditributionen über neue Pakete zur Bash geschlossen (siehe unseren Beitrag vom 26.09.2014). Nun sind drei weitere verwandte Sicherheits-Lecks bekannt geworden.
Diese "firmieren" unter den CVE-Einträgen CVE-2014-7186 sowie CVE-2014-7187 und CVE-2014-6277. Bei den beiden ersteren handelt es sich um einen Off-by-One-Fehler im Parser-Code, beim Dritten wohl um Probleme zum Compiling für ASLR (Address Space Layout Randomization). Nähere Infos gibt es noch zu keinem der drei Lücken.

Gepatcht sind jedoch bereits zwei der drei Lücken und wurden bei Red Hat (bash 4.1.2.-15) und Fedora (bash 4.3.25-2.fc21) bereits am Freitag mit den neuen Bash-Paketen behoben. Ubuntu und verwandte Distris haben die gepatchten Bash-Pakete
(bash 4.3-7) gestern (am Samstag) ausgeliefert. Apple hat sich hierzu noch nicht "geäussert" (Update 30.09.2014: Apple bietet nun ein Bash-Update per Download zu den ersten beiden Lücken an, nicht aber zu den drei weiteren Lecks).

Um die Bash-Pakete unter Linux zu aktualisieren, kann man sich der Paketverwaltung über die jeweilige graphische Oberfläche bedienen oder per Kommandozeile vorgehen:
  • CentOS, Fedora, Red Hat und darauf aufgebaute andere Distributionen...:
    yum -y update bash

  • Debian, Ubuntu und darauf aufgebaute andere Distributionen...:
    sudo apt-get update && sudo apt-get install --only-upgrade bash
Für die Schliessung der fünften Lücke wird in Kürze unter Linux mit einem weiteren Update zu rechnen sein! Bei Apples OS X steht noch die Schliessung von Nr. 3-5 aus (Nr. 1 und 2 wurden zu OS X mit dem Update per 30.09.2014 geflickt, siehe Update weiter oben).
Kommentare (0) zu diesem BLOG-Eintrag
Sie können einen neuen Kommentar-Thread beginnen (siehe Button) oder auf einen bestehenden Kommentar antworten (Grafik "antworten" unten links zu einem Kommentar anklicken). In letzterem Fall wird ein "@{name}" (auf wen die Antwort erfolgte) im Kommentar automatisch vorangestellt.



 Die Übertragung erfolgt SSL-verschlüsselt, d.h. mit Protokoll https
(mit * kennzeichnet ein Pflichtfeld)
Name*:
eMail-Adresse*:
Homepage:
 Homepage wird zum Kommentar angezeigt
Kommentar*:Zeichen frei:

Datenschutz - Einwilligung DSGVO*:


Sicherheits-Abfrage*:
Bitte geben Sie die Summe als Zahl ein (z.B. VIER+ACHT=12).
Bild mit Rechenaufgabe 
 

Hinweise: Eine eingegebene URL (Internetadresse) wird automatisch erkannt und verlinkt, deshalb bitte keinen HTML-Code eingeben.

Wir behalten uns vor, Kommentare vor der Veröffentlichung zu prüfen (Wir benachrichtigen Sie dann über eine Freigabe per E-Mail). Erst-Kommentare werden grundsätzlich zuvor geprüft. Haben Sie bereits Kommentare mit derselben E-Mail-Adresse abgegeben und wir Sie als vertrauenswürdig eingestuft, wird Ihr Kommentar ohne Prüfung sofort veröffentlicht. Auch in diesem Fall behalten wir uns vor, Kommentare nachträglich zu sperren oder endgültig zu löschen, verletzende oder gesetzlich unzulässige Inhalte zu entfernen oder die Vertrauenswürdigkeit wieder herabzustufen.