10.12.2018 | 02:51 Uhr
 
Aktuelles - Blog
ShellShock: Weitere drei kritische Fehler (28.09.2014)
Die beiden kritischen Sicherheitslücken CVE-2014-7169 und CVE-2014-6271 wurden bei den meisten Linux-Ditributionen über neue Pakete zur Bash geschlossen (siehe unseren Beitrag vom 26.09.2014). Nun sind drei weitere verwandte Sicherheits-Lecks bekannt geworden.
Diese "firmieren" unter den CVE-Einträgen CVE-2014-7186 sowie CVE-2014-7187 und CVE-2014-6277. Bei den beiden ersteren handelt es sich um einen Off-by-One-Fehler im Parser-Code, beim Dritten wohl um Probleme zum Compiling für ASLR (Address Space Layout Randomization). Nähere Infos gibt es noch zu keinem der drei Lücken.

Gepatcht sind jedoch bereits zwei der drei Lücken und wurden bei Red Hat (bash 4.1.2.-15) und Fedora (bash 4.3.25-2.fc21) bereits am Freitag mit den neuen Bash-Paketen behoben. Ubuntu und verwandte Distris haben die gepatchten Bash-Pakete
(bash 4.3-7) gestern (am Samstag) ausgeliefert. Apple hat sich hierzu noch nicht "geäussert" (Update 30.09.2014: Apple bietet nun ein Bash-Update per Download zu den ersten beiden Lücken an, nicht aber zu den drei weiteren Lecks).

Um die Bash-Pakete unter Linux zu aktualisieren, kann man sich der Paketverwaltung über die jeweilige graphische Oberfläche bedienen oder per Kommandozeile vorgehen:
  • CentOS, Fedora, Red Hat und darauf aufgebaute andere Distributionen...:
    yum -y update bash

  • Debian, Ubuntu und darauf aufgebaute andere Distributionen...:
    sudo apt-get update && sudo apt-get install --only-upgrade bash
Für die Schliessung der fünften Lücke wird in Kürze unter Linux mit einem weiteren Update zu rechnen sein! Bei Apples OS X steht noch die Schliessung von Nr. 3-5 aus (Nr. 1 und 2 wurden zu OS X mit dem Update per 30.09.2014 geflickt, siehe Update weiter oben).
Kommentieren