ShellShock: Weitere drei kritische Fehler (28.09.2014) |
Die beiden kritischen Sicherheitslücken CVE-2014-7169 und CVE-2014-6271 wurden bei den meisten Linux-Ditributionen über neue Pakete zur Bash geschlossen (siehe unseren Beitrag vom 26.09.2014). Nun sind drei weitere verwandte Sicherheits-Lecks bekannt geworden. |
Diese "firmieren" unter den CVE-Einträgen CVE-2014-7186 sowie CVE-2014-7187 und CVE-2014-6277. Bei den beiden ersteren handelt es sich um einen Off-by-One-Fehler im Parser-Code, beim Dritten wohl um Probleme zum Compiling für ASLR (Address Space Layout Randomization). Nähere Infos gibt es noch zu keinem der drei Lücken. Gepatcht sind jedoch bereits zwei der drei Lücken und wurden bei Red Hat (bash 4.1.2.-15) und Fedora (bash 4.3.25-2.fc21) bereits am Freitag mit den neuen Bash-Paketen behoben. Ubuntu und verwandte Distris haben die gepatchten Bash-Pakete (bash 4.3-7) gestern (am Samstag) ausgeliefert. Apple hat sich hierzu noch nicht "geäussert" (Update 30.09.2014: Apple bietet nun ein Bash-Update per Download zu den ersten beiden Lücken an, nicht aber zu den drei weiteren Lecks). Um die Bash-Pakete unter Linux zu aktualisieren, kann man sich der Paketverwaltung über die jeweilige graphische Oberfläche bedienen oder per Kommandozeile vorgehen:
|
Kommentieren |