Schwere Sicherheitslücke bedroht Macs und Linux-Rechner

L I V E Stammtisch ab 20:30 Uhr im Chat
  • ..eigentlich kein "offtopic" aber kA wo das sonst passen könnte..


    Ein Leck in einem Uraltprogramm, das auf vielen Unix- und Linux-Rechnern läuft, bedroht deren Sicherheit. Experten sprechen von Ausmaßen wie beim "Heartbleed"-Bug.
    Auch Apple-Rechner sind betroffen. Es gibt einen einfachen Selbsttest.

    Computer, auf denen Unix- oder Linux-basierte Betriebssysteme laufen, sind von einer schweren Sicherheitslücke bedroht. Unter anderem warnt das amerikanische National Cyber Awareness System vor dem Fehler mit der offiziellen Bezeichnung CVE-2014-6271, der Millionen Rechner betreffen dürfte. Darunter auch Rechner mit dem Apple-Betriebssystem OS X, das Elemente der Unix-Variante BSD enthält - und auch die sogenannte Bash.

    Der französische Entwickler Stéphane Chazelas hat die Sicherheitslücke in der Bourne Again Shell (Bash) entdeckt, die zu den grundlegenden Programmen in Unix- und Linux-Systemen gehört.

    Nach Angaben der auf Sicherheitstechnik spezialisierten Seite "Openwall" ist es möglich, über die Lücke Schadsoftware in betroffene Rechner einzuschleusen.
    Die Schwachstelle, die auch als "Shellshock" bezeichnet wird, wird im Netz bereits mit dem "Heartbleed"-Bug verglichen, der vor einigen Monaten für Aufsehen sorgte, weil er scheinbar sichere Internetverbindungen für Angriffe anfällig macht.

    Der Sicherheitsexperte Robert Graham schreibt über "Shellshock" in einem Blogbeitrag, es sei genauso gefährlich wie "Heartbleed", die Ausmaße hält er sogar für noch größer.
    Denn die Bash wird seit mehr als 20 Jahren eingesetzt, und alle bisherigen Versionen sind anfällig. So könnten Angreifer beispielsweise Überwachungskameras kapern, die mit der Bash kommunizieren. Sobald solche Kameras über das Netz gesteuert werden, sind sie laut Graham ein leichtes Ziel. Denn im Gegensatz zu vielen Webservern würden solche Geräte meist gar nicht mit Updates versorgt.

    Viele Systeme könnten ohne Update auskommen

    Ob ein Rechner betroffen ist, lässt sich mit einem Kommandozeilenprogramm testen. Die folgende Zeile führt eine Funktion aus, die einen bestimmten Text nur dann auf dem Bildschirm anzeigt, wenn der "Shellshock"-Fehler vorliegt:

    Code
    env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

    Wenn nach Eingabe dieser Zeile "vulnerable" auf dem Bildschirm angezeigt wird, dann ist der Rechner von der Sicherheitslücke betroffen. Wird die Warnmeldung "bash: error importing function definition for x" ausgegeben, dann ist die Lücke bereits gestopft.

    Mittlerweile haben einige Linux-Anbieter wie Red Hat, Fedora und Ubuntu reagiert und Updates für die angreifbaren Bash-Versionen zur Verfügung gestellt.
    Apple aber hat bisher noch kein Update für seine Bash-Version herausgegeben.

    Viele Rechner könnten auf einem alten Stand bleiben

    Die Bash ist ein sogenanntes Kommandozeilenprogramm, das noch aus der Zeit stammt, als man Computer über Textbefehle steuerte und nicht per Maus.
    Bis heute ist sie bei Linux-Anwendern beliebt, weil sich mit ihr viele Alltagsaufgaben leichter und schneller abwickeln lassen als mit der Maus. Vor allem aber ist die Bash scriptfähig, das heißt, man kann sie mit Programmen füttern, die dann bestimmte Abläufe automatisiert abarbeiten.
    Genau da liegt laut dem Experten Graham das Problem. "Wir wissen, dass es gefährlich ist, mit der Shell zu interagieren, aber wir schreiben Code, der es dennoch macht", so Graham. Viele Programme würden mit der Bash kommunizieren. "Daher werden wir niemals alle Programme auf dem Markt auflisten können, die anfällig für den Bash-Bug sind."


    Quelle: http://www.spiegel.de/netzwelt/web/s…s-a-993688.html


    Mein Raspbian ist von der Sicherheitslücke betroffen!

    Nach einem apt-get update && apt-get upgrade wird aber eine neue bash installiert, bei der das Problem nicht mehr auftritt!

  • Schwere Sicherheitslücke bedroht Macs und Linux-Rechner? Schau mal ob du hier fündig wirst!

  • Moinsen ...

    aha ... deshalb wurde vor zwei Tagen bei meinem Ubuntu-Update des Laptops eine neue bash mitgeliefert.
    Der Selbsttest zeigt keine Anfälligkeit ... ;)

    Ich hatte mich schon über den Update der bash gewundert ... das fällt so krass aus dem Rahmen der üblichen Sicherheits-fixes, dass es gleich auffällt.

    //EDIT:
    Mein aktuelles Raspbian ist auch "vulnerable":

    Code
    robot@raspberrypi ~ $ uname -a
    Linux raspberrypi 3.12.25+ #1 PREEMPT Sat Aug 2 18:11:04 CEST 2014 armv6l GNU/Linux
    robot@raspberrypi ~ $ 
    robot@raspberrypi ~ $ env x='() { :;}; echo vulnerable' bash -c "echo this is a test" 
    vulnerable
    this is a test
    robot@raspberrypi ~ $


    nach einem update/upgrade:

    Spoiler anzeigen


    robot@raspberrypi ~ $ sudo apt-get update
    Hit http://raspberrypi.collabora.com wheezy InRelease
    Hit http://mirrordirector.raspbian.org wheezy InRelease
    Hit http://mirrordirector.raspbian.org jessie InRelease
    Hit http://archive.raspberrypi.org wheezy InRelease
    Hit http://repository.wolfram.com stable InRelease
    Hit http://raspberrypi.collabora.com wheezy/rpi armhf Packages
    Hit http://mirrordirector.raspbian.org wheezy/main armhf Packages
    Hit http://mirrordirector.raspbian.org wheezy/contrib armhf Packages
    Hit http://mirrordirector.raspbian.org wheezy/non-free armhf Packages
    Hit http://mirrordirector.raspbian.org wheezy/rpi armhf Packages
    Hit http://archive.raspberrypi.org wheezy/main armhf Packages
    Hit http://repository.wolfram.com stable/non-free armhf Packages
    Ign http://raspberrypi.collabora.com wheezy/rpi Translation-en_GB
    Ign http://raspberrypi.collabora.com wheezy/rpi Translation-en
    Hit http://mirrordirector.raspbian.org jessie/main armhf Packages
    Hit http://mirrordirector.raspbian.org jessie/contrib armhf Packages
    Hit http://mirrordirector.raspbian.org jessie/non-free armhf Packages
    Ign http://archive.raspberrypi.org wheezy/main Translation-en_GB
    Hit http://mirrordirector.raspbian.org jessie/rpi armhf Packages
    Ign http://archive.raspberrypi.org wheezy/main Translation-en
    Ign http://repository.wolfram.com stable/non-free Translation-en_GB
    Ign http://repository.wolfram.com stable/non-free Translation-en
    Ign http://mirrordirector.raspbian.org wheezy/contrib Translation-en_GB
    Ign http://mirrordirector.raspbian.org wheezy/contrib Translation-en
    Ign http://mirrordirector.raspbian.org wheezy/main Translation-en_GB
    Ign http://mirrordirector.raspbian.org wheezy/main Translation-en
    Ign http://mirrordirector.raspbian.org wheezy/non-free Translation-en_GB
    Ign http://mirrordirector.raspbian.org wheezy/non-free Translation-en
    Ign http://mirrordirector.raspbian.org wheezy/rpi Translation-en_GB
    Ign http://mirrordirector.raspbian.org wheezy/rpi Translation-en
    Ign http://mirrordirector.raspbian.org jessie/contrib Translation-en_GB
    Ign http://mirrordirector.raspbian.org jessie/contrib Translation-en
    Ign http://mirrordirector.raspbian.org jessie/main Translation-en_GB
    Ign http://mirrordirector.raspbian.org jessie/main Translation-en
    Ign http://mirrordirector.raspbian.org jessie/non-free Translation-en_GB
    Ign http://mirrordirector.raspbian.org jessie/non-free Translation-en
    Ign http://mirrordirector.raspbian.org jessie/rpi Translation-en_GB
    Ign http://mirrordirector.raspbian.org jessie/rpi Translation-en
    Reading package lists... Done
    robot@raspberrypi ~ $ sudo apt-get upgrade
    Reading package lists... Done
    Building dependency tree
    Reading state information... Done
    Calculating upgrade... The following packages were automatically installed and are no longer required:
    libgssglue1 libmpc2 libpthread-stubs0 libreadline5 libsasl2-modules
    Use 'apt-get autoremove' to remove them.
    Done
    The following packages have been kept back:
    alsa-utils apt-utils aptitude aptitude-common base-passwd blt
    build-essential cifs-utils cmake cmake-data codeblocks codeblocks-common
    codeblocks-contrib consolekit cpp cron cups-bsd cups-client curl dbus
    dconf-gsettings-backend dconf-service dillo dmsetup dphys-swapfile evtest
    fake-hwclock fakeroot fontconfig fontconfig-config g++ galculator gcc
    gconf-service gconf2 gconf2-common geany geany-common geany-plugin-addons
    geany-plugin-codenav geany-plugin-debugger geany-plugin-doc
    geany-plugin-extrasel geany-plugin-gendoc geany-plugin-gproject
    geany-plugin-insertnum geany-plugin-latex geany-plugin-lipsum
    geany-plugin-lua geany-plugin-macro geany-plugin-numberedbookmarks
    geany-plugin-pg geany-plugin-prettyprinter geany-plugin-prj
    geany-plugin-sendmail geany-plugin-shiftcolumn geany-plugin-spellcheck
    geany-plugin-tableconvert geany-plugin-treebrowser
    geany-plugin-updatechecker geany-plugin-vc geany-plugin-webhelper
    geany-plugin-xmlsnippets geany-plugins geany-plugins-common ghostscript
    glib-networking glib-networking-common glib-networking-services gpicview
    gtk2-engines gvfs gvfs-backends gvfs-common gvfs-daemons gvfs-fuse gvfs-libs
    i2c-tools idle idle3 initscripts iproute iptables iputils-ping
    isc-dhcp-client isc-dhcp-common jackd2 leafpad libalgorithm-diff-xs-perl
    libasound2 libatasmart4 libbluetooth3 libck-connector0 libcodeblocks0
    libcups2 libcupsimage2 libcurl3 libcurl3-gnutls libdbd-mysql-perl
    libdbi-perl libdevmapper1.02.1 libfftw3-3 libfile-fcntllock-perl libfltk1.3
    libfm-data libfontconfig1 libfreetype6 libfreetype6-dev libgail-3-0
    libgail18 libgconf-2-4 libgdk-pixbuf2.0-0 libgdk-pixbuf2.0-common
    libgirepository-1.0-1 libgksu2-0 libgl1-mesa-glx libglade2-0 libglapi-mesa
    libglib2.0-0 libgnutls26 libgpgme11 libgs9 libgs9-common libgtk-3-0
    libgtk-3-bin libgtk-3-common libgtk2.0-0 libgtk2.0-bin libgtkspell0
    libgudev-1.0-0 libimlib2 libjack-jackd2-0 libjavascriptcoregtk-1.0-0
    libjavascriptcoregtk-3.0-0 libjson0 liblocale-gettext-perl liblvm2app2.2
    libp11-kit0 libpam-modules libpam-modules-bin libpam0g libpango1.0-0
    libpulse0 libpython2.7 libpython3.2 libqt4-dbus libqt4-network libqt4-svg
    libqt4-xml libqtcore4 libqtdbus4 libqtgui4 libqtwebkit4 libraspberrypi-bin
    libraspberrypi-dev libraspberrypi-doc libraspberrypi0 librsvg2-2
    librsvg2-common libruby1.9.1 libsasl2-2 libscsynth1 libsdl-image1.2
    libsdl-mixer1.2 libsemanage-common libsemanage1 libsmbclient libssh2-1
    libterm-readkey-perl libtext-charwidth-perl libtext-iconv-perl
    libunique-1.0-0 libusb-1.0-0 libv4l-0 libv4l2rds0 libv4lconvert0 libva1
    libwebkitgtk-1.0-0 libwebkitgtk-3.0-0 libwnck22 libwxbase2.8-0
    libwxbase2.8-dev libwxgtk2.8-0 libwxgtk2.8-dev libwxsmithlib0 libxft2
    lighttpd login lxappearance lxpanel lxsession lxtask mountall netsurf-common
    netsurf-gtk obconf openbox openssh-client openssh-server parted passwd
    pcmanfm perl perl-base perl-modules php5 php5-cgi php5-common php5-mysql
    plymouth policykit-1 poppler-utils procps python python-dev python-minimal
    python-numpy python-pip python-pkg-resources python-pygame python-setuptools
    python-tk python2.7 python2.7-dev python2.7-minimal python3 python3-dev
    python3-minimal python3-numpy python3-pkg-resources python3-setuptools
    python3-tk python3.2 python3.2-dev python3.2-minimal qdbus
    raspberrypi-bootloader rsyslog ruby1.9.1 samba-common smbclient ssh sudo
    supercollider supercollider-common supercollider-server sysv-rc sysvinit
    sysvinit-utils tcl8.5 tk8.5 ttf-dejavu-core udev udisks usbmuxd v4l-utils
    weston wget wolfram-engine wx-common wx2.8-headers x11-utils xarchiver xpdf
    xserver-xorg xserver-xorg-core xserver-xorg-input-evdev
    xserver-xorg-input-synaptics xserver-xorg-video-fbdev xterm zenity
    zenity-common
    0 upgraded, 0 newly installed, 0 to remove and 272 not upgraded.
    robot@raspberrypi ~ $


    ist die Sicherheitslücke immer noch vorhanden.
    Da aber keiner meiner RPi nach aussen sichtbar im Netz hängt, ist das eher wurscht.


    Jedenfalls danke für den Super-Hinweis ...

    cheers,
    -ds-


  • nach einem update/upgrade:

    Code
    robot@raspberrypi ~ $ uname -a
    Linux raspberrypi 3.12.25+ #1 PREEMPT Sat Aug 2 18:11:04 CEST 2014 armv6l GNU/Linux
    robot@raspberrypi ~ $  env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
    vulnerable
    this is a test
    robot@raspberrypi ~ $ sudo rpi-update 
     *** Your firmware is already up to date
    robot@raspberrypi ~ $

    Hm, komisch. Bei mir wurde die bash gerade updated:

    Spoiler anzeigen
    • Offizieller Beitrag

    Dazu kommt noch teilweise das

    Code
    Red Hat has become aware that the patch for CVE-2014-6271 is incomplete. An attacker can provide specially-crafted environment variables containing arbitrary commands that will be executed on vulnerable systems under certain conditions. The new issue has been assigned CVE-2014-7169. Red Hat is working on patches in conjunction with the upstream developers as a critical priority.
  • Finde ich auch sonderbar ... Du hast 3.12.26, bei mir ist bei 3.12.25 Schluss ...

    Mh dann passt bei dir allgemein etwas nicht. Hab grad rpi-update ausgeführt und er werkelt wild rum... Obwohl ich einen neueren Kernel als du hab, krieg ich trotzdem noch einen neueren: 3.12.28+ :D

    Ich hab' den output gerade oben in meinem Post im spoiler dazugepackkt.

    Da werden aber übelst viele Pakete zurückgehalten... Mach mal das was da steht: apt-get autoremove und dann noch mal upgdate probiern ;)


  • ...
    Da werden aber übelst viele Pakete zurückgehalten... Mach mal das was da steht: apt-get autoremove und dann noch mal upgdate probiern ;)

    Tjaaaaa .... das nutz auch nix:

    Spoiler anzeigen


    pi@raspberrypi ~ $
    pi@raspberrypi ~ $ sudo apt-get autoremove
    Reading package lists... Done
    Building dependency tree
    Reading state information... Done
    The following packages will be REMOVED:
    libgssglue1 libmpc2 libpthread-stubs0 libreadline5 libsasl2-modules
    0 upgraded, 0 newly installed, 5 to remove and 272 not upgraded.
    After this operation, 656 kB disk space will be freed.
    Do you want to continue? [Y/n] Y
    (Reading database ... 81918 files and directories currently installed.)
    Removing libgssglue1:armhf (0.4-2) ...
    Removing libmpc2:armhf (0.9-4) ...
    Removing libpthread-stubs0:armhf (0.3-3) ...
    Removing libreadline5:armhf (5.2+dfsg-2) ...
    Removing libsasl2-modules:armhf (2.1.26.dfsg1-11) ...
    Processing triggers for libc-bin (2.19-11) ...
    pi@raspberrypi ~ $
    pi@raspberrypi ~ $
    pi@raspberrypi ~ $ sudo apt-get update
    Hit http://mirrordirector.raspbian.org wheezy InRelease
    Hit http://mirrordirector.raspbian.org jessie InRelease
    Hit http://raspberrypi.collabora.com wheezy InRelease
    Hit http://archive.raspberrypi.org wheezy InRelease
    Hit http://repository.wolfram.com stable InRelease
    Hit http://mirrordirector.raspbian.org wheezy/main armhf Packages
    Hit http://mirrordirector.raspbian.org wheezy/contrib armhf Packages
    Hit http://mirrordirector.raspbian.org wheezy/non-free armhf Packages
    Hit http://mirrordirector.raspbian.org wheezy/rpi armhf Packages
    Hit http://raspberrypi.collabora.com wheezy/rpi armhf Packages
    Hit http://archive.raspberrypi.org wheezy/main armhf Packages
    Hit http://repository.wolfram.com stable/non-free armhf Packages
    Hit http://mirrordirector.raspbian.org jessie/main armhf Packages
    Hit http://mirrordirector.raspbian.org jessie/contrib armhf Packages
    Ign http://raspberrypi.collabora.com wheezy/rpi Translation-en_GB
    Hit http://mirrordirector.raspbian.org jessie/non-free armhf Packages
    Ign http://raspberrypi.collabora.com wheezy/rpi Translation-en
    Hit http://mirrordirector.raspbian.org jessie/rpi armhf Packages
    Ign http://archive.raspberrypi.org wheezy/main Translation-en_GB
    Ign http://archive.raspberrypi.org wheezy/main Translation-en
    Ign http://repository.wolfram.com stable/non-free Translation-en_GB
    Ign http://repository.wolfram.com stable/non-free Translation-en
    Ign http://mirrordirector.raspbian.org wheezy/contrib Translation-en_GB
    Ign http://mirrordirector.raspbian.org wheezy/contrib Translation-en
    Ign http://mirrordirector.raspbian.org wheezy/main Translation-en_GB
    Ign http://mirrordirector.raspbian.org wheezy/main Translation-en
    Ign http://mirrordirector.raspbian.org wheezy/non-free Translation-en_GB
    Ign http://mirrordirector.raspbian.org wheezy/non-free Translation-en
    Ign http://mirrordirector.raspbian.org wheezy/rpi Translation-en_GB
    Ign http://mirrordirector.raspbian.org wheezy/rpi Translation-en
    Ign http://mirrordirector.raspbian.org jessie/contrib Translation-en_GB
    Ign http://mirrordirector.raspbian.org jessie/contrib Translation-en
    Ign http://mirrordirector.raspbian.org jessie/main Translation-en_GB
    Ign http://mirrordirector.raspbian.org jessie/main Translation-en
    Ign http://mirrordirector.raspbian.org jessie/non-free Translation-en_GB
    Ign http://mirrordirector.raspbian.org jessie/non-free Translation-en
    Ign http://mirrordirector.raspbian.org jessie/rpi Translation-en_GB
    Ign http://mirrordirector.raspbian.org jessie/rpi Translation-en
    Reading package lists... Done
    pi@raspberrypi ~ $
    pi@raspberrypi ~ $
    pi@raspberrypi ~ $
    pi@raspberrypi ~ $ sudo apt-get upgrade
    Reading package lists... Done
    Building dependency tree
    Reading state information... Done
    Calculating upgrade... Done
    The following packages have been kept back:
    alsa-utils apt-utils aptitude aptitude-common base-passwd blt
    build-essential cifs-utils cmake cmake-data codeblocks codeblocks-common
    codeblocks-contrib consolekit cpp cron cups-bsd cups-client curl dbus
    dconf-gsettings-backend dconf-service dillo dmsetup dphys-swapfile evtest
    fake-hwclock fakeroot fontconfig fontconfig-config g++ galculator gcc
    gconf-service gconf2 gconf2-common geany geany-common geany-plugin-addons
    geany-plugin-codenav geany-plugin-debugger geany-plugin-doc
    geany-plugin-extrasel geany-plugin-gendoc geany-plugin-gproject
    geany-plugin-insertnum geany-plugin-latex geany-plugin-lipsum
    geany-plugin-lua geany-plugin-macro geany-plugin-numberedbookmarks
    geany-plugin-pg geany-plugin-prettyprinter geany-plugin-prj
    geany-plugin-sendmail geany-plugin-shiftcolumn geany-plugin-spellcheck
    geany-plugin-tableconvert geany-plugin-treebrowser
    geany-plugin-updatechecker geany-plugin-vc geany-plugin-webhelper
    geany-plugin-xmlsnippets geany-plugins geany-plugins-common ghostscript
    glib-networking glib-networking-common glib-networking-services gpicview
    gtk2-engines gvfs gvfs-backends gvfs-common gvfs-daemons gvfs-fuse gvfs-libs
    i2c-tools idle idle3 initscripts iproute iptables iputils-ping
    isc-dhcp-client isc-dhcp-common jackd2 leafpad libalgorithm-diff-xs-perl
    libasound2 libatasmart4 libbluetooth3 libck-connector0 libcodeblocks0
    libcups2 libcupsimage2 libcurl3 libcurl3-gnutls libdbd-mysql-perl
    libdbi-perl libdevmapper1.02.1 libfftw3-3 libfile-fcntllock-perl libfltk1.3
    libfm-data libfontconfig1 libfreetype6 libfreetype6-dev libgail-3-0
    libgail18 libgconf-2-4 libgdk-pixbuf2.0-0 libgdk-pixbuf2.0-common
    libgirepository-1.0-1 libgksu2-0 libgl1-mesa-glx libglade2-0 libglapi-mesa
    libglib2.0-0 libgnutls26 libgpgme11 libgs9 libgs9-common libgtk-3-0
    libgtk-3-bin libgtk-3-common libgtk2.0-0 libgtk2.0-bin libgtkspell0
    libgudev-1.0-0 libimlib2 libjack-jackd2-0 libjavascriptcoregtk-1.0-0
    libjavascriptcoregtk-3.0-0 libjson0 liblocale-gettext-perl liblvm2app2.2
    libp11-kit0 libpam-modules libpam-modules-bin libpam0g libpango1.0-0
    libpulse0 libpython2.7 libpython3.2 libqt4-dbus libqt4-network libqt4-svg
    libqt4-xml libqtcore4 libqtdbus4 libqtgui4 libqtwebkit4 libraspberrypi-bin
    libraspberrypi-dev libraspberrypi-doc libraspberrypi0 librsvg2-2
    librsvg2-common libruby1.9.1 libsasl2-2 libscsynth1 libsdl-image1.2
    libsdl-mixer1.2 libsemanage-common libsemanage1 libsmbclient libssh2-1
    libterm-readkey-perl libtext-charwidth-perl libtext-iconv-perl
    libunique-1.0-0 libusb-1.0-0 libv4l-0 libv4l2rds0 libv4lconvert0 libva1
    libwebkitgtk-1.0-0 libwebkitgtk-3.0-0 libwnck22 libwxbase2.8-0
    libwxbase2.8-dev libwxgtk2.8-0 libwxgtk2.8-dev libwxsmithlib0 libxft2
    lighttpd login lxappearance lxpanel lxsession lxtask mountall netsurf-common
    netsurf-gtk obconf openbox openssh-client openssh-server parted passwd
    pcmanfm perl perl-base perl-modules php5 php5-cgi php5-common php5-mysql
    plymouth policykit-1 poppler-utils procps python python-dev python-minimal
    python-numpy python-pip python-pkg-resources python-pygame python-setuptools
    python-tk python2.7 python2.7-dev python2.7-minimal python3 python3-dev
    python3-minimal python3-numpy python3-pkg-resources python3-setuptools
    python3-tk python3.2 python3.2-dev python3.2-minimal qdbus
    raspberrypi-bootloader rsyslog ruby1.9.1 samba-common smbclient ssh sudo
    supercollider supercollider-common supercollider-server sysv-rc sysvinit
    sysvinit-utils tcl8.5 tk8.5 ttf-dejavu-core udev udisks usbmuxd v4l-utils
    weston wget wolfram-engine wx-common wx2.8-headers x11-utils xarchiver xpdf
    xserver-xorg xserver-xorg-core xserver-xorg-input-evdev
    xserver-xorg-input-synaptics xserver-xorg-video-fbdev xterm zenity
    zenity-common
    0 upgraded, 0 newly installed, 0 to remove and 272 not upgraded.
    pi@raspberrypi ~ $
    pi@raspberrypi ~ $ sudo rpi-update
    *** Raspberry Pi firmware updater by Hexxeh, enhanced by AndrewS and Dom
    *** Performing self-update
    % Total % Received % Xferd Average Speed Time Time Time Current
    Dload Upload Total Spent Left Speed
    100 7100 100 7100 0 0 31127 0 --:--:-- --:--:-- --:--:-- 43827
    *** Relaunching after update
    *** Raspberry Pi firmware updater by Hexxeh, enhanced by AndrewS and Dom
    *** Your firmware is already up to date
    pi@raspberrypi ~ $
    pi@raspberrypi ~ $ sudo apt-get dist-upgrade
    Reading package lists... Done
    Building dependency tree
    Reading state information... Done
    Calculating upgrade... Some packages could not be installed. This may mean that you have
    requested an impossible situation or if you are using the unstable
    distribution that some required packages have not yet been created
    or been moved out of Incoming.
    The following information may help to resolve the situation:

    The following packages have unmet dependencies:
    libgl1-mesa-dri : Breaks: xserver-xorg-core (< 2:1.14.3-5) but 2:1.12.4-6+deb7u2 is to be installed
    E: Error, pkgProblemResolver::Resolve generated breaks, this may be caused by held packages.
    pi@raspberrypi ~ $
    pi@raspberrypi ~ $


    hat scheinbar mit der Grafik-Lib des X-Server zu tun.
    Da das eh ein Versuchs-RPi ist, könnten wir mal versuchen, das Update trotzdem hinzubekommen.
    Wie gesagt, mir persönlich egal, aber vielleicht für andere interessant.
    Irgendwie den X-Server core ... äh ... nachinstallieren, deinstallieren, ???
    Vorschläge?

    Ach ... fällt mir grad' ein: ich hab' da irgendwann mal eine Framebuffer-Variante aufgespielt.
    Frag' mich aber jetzt nicht welche und wann das war :s

    cheers,
    -ds-


  • Dazu kommt noch teilweise das

    Code
    Red Hat has become aware that the patch for CVE-2014-6271 is incomplete. An attacker can provide specially-crafted environment variables containing arbitrary commands that will be executed on vulnerable systems under certain conditions. The new issue has been assigned CVE-2014-7169. Red Hat is working on patches in conjunction with the upstream developers as a critical priority.

    Jep, leider =(

    Siehe dazu auch:
    http://seclists.org/oss-sec/2014/q3/686

    apache mit mod_cgi ist von dem Problem übrigens auch betroffen.. aber wer heute noch CGI nutzt ist selbst schuld :D


    Das wichtigste zu dem Shellshock Bug ist aber ein Statement, das ich heute auf Twitter las: "if you're using system() to call things based on user input the bash vulnerability isn't your biggest problem" ... wer sowas macht wills dann nicht anders :fies:

  • Solche Sachen gehören imho entweder in die News oder nach Debian/Raspbian.
    Vielleicht kann unser Ober-Admin sich da mal was einfallen lassen.
    Irgendwie als wichtig gekennzeichnetes oben angepinntes Topic ... sollte aber evtl. moderiert werden.

    cheers,
    -ds-


    ...
    apache mit mod_cgi ist von dem Problem übrigens auch betroffen.. aber wer heute noch CGI nutzt ist selbst schuld :D


    Pah!
    cgi ist mir persönlich immer noch lieber als der ganze andere, neumodische Kram der imho überwiegend aus der Windows-Ecke eingeschleppt wurde/wird :fies:

    • Offizieller Beitrag

    mod_cgi bietet halt einfach einen Unglaublich grossen Angriffsvektor. Die reine Verwundbarkeit von Bash wäre ja nicht sooo das Problem, aber Indianer gibts nun mal mehr im Internet als in Ihren Reservaten.

  • Beim normalen Debian kam eben gerade ein weiteres Update für bash raus (4.2+dfsg-0.1+deb7u3). Aktuell ist bei Raspbian zZt noch 4.2+dfsg-0.1+deb7u1

    Für Raspbian wird's wohl noch ein bisschen dauern bis die neue bash ported wird... Also nicht vergessen innerhalb der nächsten Tage noch mal ein upgrade durchzuführen!

    Spoiler anzeigen

  • Beim normalen Debian kam eben gerade ein weiteres Update für bash raus (4.2+dfsg-0.1+deb7u3). Aktuell ist bei Raspbian zZt noch 4.2+dfsg-0.1+deb7u1

    Für Raspbian wird's wohl noch ein bisschen dauern bis die neue bash ported wird... Also nicht vergessen innerhalb der nächsten Tage noch mal ein upgrade durchzuführen!

    Das weitere Update für bash steht inzwischen auch für Raspbian zur Verfügung:

    Code
    ~ $ apt-cache policy bash
    bash:
      Installed: 4.2+dfsg-0.1+deb7u3
      Candidate: 4.2+dfsg-0.1+deb7u3
      Version table:
     *** 4.2+dfsg-0.1+deb7u3 0
            500 http://mirrordirector.raspbian.org/raspbian/ wheezy/main armhf Packages
            100 /var/lib/dpkg/status

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Moin,

    mittlerweile gibt's für meinen Fall siehe ( -> hier <- ) auch ein upgrade:

    Spoiler anzeigen


    pi@raspberrypi ~ $
    pi@raspberrypi ~ $ uname -a
    Linux raspberrypi 3.12.25+ #1 PREEMPT Sat Aug 2 18:11:04 CEST 2014 armv6l GNU/Linux
    pi@raspberrypi ~ $ sudo apt-get update
    Get:1 http://mirrordirector.raspbian.org wheezy InRelease [14.9 kB]
    Hit http://raspberrypi.collabora.com wheezy InRelease
    Hit http://archive.raspberrypi.org wheezy InRelease
    Get:2 http://mirrordirector.raspbian.org jessie InRelease [14.9 kB]
    Hit http://repository.wolfram.com stable InRelease
    Hit http://raspberrypi.collabora.com wheezy/rpi armhf Packages
    Hit http://archive.raspberrypi.org wheezy/main armhf Packages
    Get:3 http://mirrordirector.raspbian.org wheezy/main armhf Packages [6,892 kB]
    Hit http://repository.wolfram.com stable/non-free armhf Packages
    Ign http://raspberrypi.collabora.com wheezy/rpi Translation-en_GB
    Ign http://archive.raspberrypi.org wheezy/main Translation-en_GB
    Ign http://raspberrypi.collabora.com wheezy/rpi Translation-en
    Ign http://archive.raspberrypi.org wheezy/main Translation-en
    Ign http://repository.wolfram.com stable/non-free Translation-en_GB
    Ign http://repository.wolfram.com stable/non-free Translation-en
    Hit http://mirrordirector.raspbian.org wheezy/contrib armhf Packages
    Hit http://mirrordirector.raspbian.org wheezy/non-free armhf Packages
    Hit http://mirrordirector.raspbian.org wheezy/rpi armhf Packages
    Get:4 http://mirrordirector.raspbian.org jessie/main armhf Packages [8,721 kB]
    Get:5 http://mirrordirector.raspbian.org jessie/contrib armhf Packages [32.8 kB]
    Get:6 http://mirrordirector.raspbian.org jessie/non-free armhf Packages [67.3 kB]
    Get:7 http://mirrordirector.raspbian.org jessie/rpi armhf Packages [592 B]
    Ign http://mirrordirector.raspbian.org wheezy/contrib Translation-en_GB
    Ign http://mirrordirector.raspbian.org wheezy/contrib Translation-en
    Ign http://mirrordirector.raspbian.org wheezy/main Translation-en_GB
    Ign http://mirrordirector.raspbian.org wheezy/main Translation-en
    Ign http://mirrordirector.raspbian.org wheezy/non-free Translation-en_GB
    Ign http://mirrordirector.raspbian.org wheezy/non-free Translation-en
    Ign http://mirrordirector.raspbian.org wheezy/rpi Translation-en_GB
    Ign http://mirrordirector.raspbian.org wheezy/rpi Translation-en
    Ign http://mirrordirector.raspbian.org jessie/contrib Translation-en_GB
    Ign http://mirrordirector.raspbian.org jessie/contrib Translation-en
    Ign http://mirrordirector.raspbian.org jessie/main Translation-en_GB
    Ign http://mirrordirector.raspbian.org jessie/main Translation-en
    Ign http://mirrordirector.raspbian.org jessie/non-free Translation-en_GB
    Ign http://mirrordirector.raspbian.org jessie/non-free Translation-en
    Ign http://mirrordirector.raspbian.org jessie/rpi Translation-en_GB
    Ign http://mirrordirector.raspbian.org jessie/rpi Translation-en
    Fetched 15.7 MB in 1min 37s (161 kB/s)
    Reading package lists... Done
    pi@raspberrypi ~ $ sudo apt-get upgrade
    Reading package lists... Done
    Building dependency tree
    Reading state information... Done
    Calculating upgrade... Done
    The following packages have been kept back:
    alsa-utils apt-utils aptitude aptitude-common base-passwd blt
    build-essential cifs-utils cmake cmake-data codeblocks codeblocks-common
    codeblocks-contrib consolekit cpp cron cups-bsd cups-client curl dbus
    dconf-gsettings-backend dconf-service dillo dmsetup dphys-swapfile evtest
    fake-hwclock fakeroot fontconfig fontconfig-config g++ galculator gcc
    gconf-service gconf2 gconf2-common geany geany-common geany-plugin-addons
    geany-plugin-codenav geany-plugin-debugger geany-plugin-doc
    geany-plugin-extrasel geany-plugin-gendoc geany-plugin-gproject
    geany-plugin-insertnum geany-plugin-latex geany-plugin-lipsum
    geany-plugin-lua geany-plugin-macro geany-plugin-numberedbookmarks
    geany-plugin-pg geany-plugin-prettyprinter geany-plugin-prj
    geany-plugin-sendmail geany-plugin-shiftcolumn geany-plugin-spellcheck
    geany-plugin-tableconvert geany-plugin-treebrowser
    geany-plugin-updatechecker geany-plugin-vc geany-plugin-webhelper
    geany-plugin-xmlsnippets geany-plugins geany-plugins-common ghostscript
    glib-networking glib-networking-common glib-networking-services gpicview
    gtk2-engines gvfs gvfs-backends gvfs-common gvfs-daemons gvfs-fuse gvfs-libs
    i2c-tools idle idle3 initscripts iproute iptables iputils-ping
    isc-dhcp-client isc-dhcp-common jackd2 leafpad libalgorithm-diff-xs-perl
    libasound2 libatasmart4 libbluetooth3 libck-connector0 libcodeblocks0
    libcups2 libcupsimage2 libcurl3 libcurl3-gnutls libdbd-mysql-perl
    libdbi-perl libdevmapper1.02.1 libfftw3-3 libfile-fcntllock-perl libfltk1.3
    libfm-data libfontconfig1 libfreetype6 libfreetype6-dev libgail-3-0
    libgail18 libgconf-2-4 libgdk-pixbuf2.0-0 libgdk-pixbuf2.0-common
    libgirepository-1.0-1 libgksu2-0 libgl1-mesa-glx libglade2-0 libglapi-mesa
    libglib2.0-0 libgnutls26 libgpgme11 libgs9 libgs9-common libgtk-3-0
    libgtk-3-bin libgtk-3-common libgtk2.0-0 libgtk2.0-bin libgtkspell0
    libgudev-1.0-0 libimlib2 libjack-jackd2-0 libjavascriptcoregtk-1.0-0
    libjavascriptcoregtk-3.0-0 libjson0 liblocale-gettext-perl liblvm2app2.2
    libp11-kit0 libpam-modules libpam-modules-bin libpam0g libpango1.0-0
    libpulse0 libpython2.7 libpython3.2 libqt4-dbus libqt4-network libqt4-svg
    libqt4-xml libqtcore4 libqtdbus4 libqtgui4 libqtwebkit4 libraspberrypi-bin
    libraspberrypi-dev libraspberrypi-doc libraspberrypi0 librsvg2-2
    librsvg2-common libruby1.9.1 libsasl2-2 libscsynth1 libsdl-image1.2
    libsdl-mixer1.2 libsemanage-common libsemanage1 libsmbclient libssh2-1
    libterm-readkey-perl libtext-charwidth-perl libtext-iconv-perl
    libunique-1.0-0 libusb-1.0-0 libv4l-0 libv4l2rds0 libv4lconvert0 libva1
    libwebkitgtk-1.0-0 libwebkitgtk-3.0-0 libwnck22 libwxbase2.8-0
    libwxbase2.8-dev libwxgtk2.8-0 libwxgtk2.8-dev libwxsmithlib0 libxft2
    lighttpd login lxappearance lxpanel lxsession lxtask mountall netsurf-common
    netsurf-gtk obconf openbox openssh-client openssh-server parted passwd
    pcmanfm perl perl-base perl-modules php5 php5-cgi php5-common php5-mysql
    plymouth policykit-1 poppler-utils procps python python-dev python-minimal
    python-numpy python-pip python-pkg-resources python-pygame python-setuptools
    python-tk python2.7 python2.7-dev python2.7-minimal python3 python3-dev
    python3-minimal python3-numpy python3-pkg-resources python3-setuptools
    python3-tk python3.2 python3.2-dev python3.2-minimal qdbus
    raspberrypi-bootloader rsyslog ruby1.9.1 samba-common smbclient ssh sudo
    supercollider supercollider-common supercollider-server sysv-rc sysvinit
    sysvinit-utils tcl8.5 tk8.5 ttf-dejavu-core udev udisks usbmuxd v4l-utils
    weston wget wolfram-engine wx-common wx2.8-headers x11-utils xarchiver xpdf
    xserver-xorg xserver-xorg-core xserver-xorg-input-evdev
    xserver-xorg-input-synaptics xserver-xorg-video-fbdev xterm zenity
    zenity-common
    The following packages will be upgraded:
    bash
    1 upgraded, 0 newly installed, 0 to remove and 272 not upgraded.
    Need to get 1,088 kB of archives.
    After this operation, 0 B of additional disk space will be used.
    Do you want to continue? [Y/n] Y
    Get:1 http://mirrordirector.raspbian.org/raspbian/ jessie/main bash armhf 4.3-9.1 [1,088 kB]
    Fetched 1,088 kB in 4s (225 kB/s)
    (Reading database ... 81867 files and directories currently installed.)
    Preparing to unpack .../bash_4.3-9.1_armhf.deb ...
    Unpacking bash (4.3-9.1) over (4.3-9) ...
    Processing triggers for man-db (2.6.7.1-1) ...
    Processing triggers for install-info (5.2.0.dfsg.1-4) ...
    Processing triggers for menu (2.1.47) ...
    Setting up bash (4.3-9.1) ...
    update-alternatives: using /usr/share/man/man7/bash-builtins.7.gz to provide /usr/share/man/man7/builtins.7.gz (builtins.7.gz) in auto mode
    Processing triggers for menu (2.1.47) ...
    pi@raspberrypi ~ $ sudo rpi-update
    *** Raspberry Pi firmware updater by Hexxeh, enhanced by AndrewS and Dom
    *** Performing self-update
    % Total % Received % Xferd Average Speed Time Time Time Current
    Dload Upload Total Spent Left Speed
    100 7591 100 7591 0 0 29768 0 --:--:-- --:--:-- --:--:-- 41032
    *** Relaunching after update
    *** Raspberry Pi firmware updater by Hexxeh, enhanced by AndrewS and Dom
    *** Your firmware is already up to date
    pi@raspberrypi ~ $ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
    bash: warning: x: ignoring function definition attempt
    bash: error importing function definition for `x'
    this is a test
    pi@raspberrypi ~ $

    cheers,
    -ds-

  • Jo ... hob i a scho probiert ;) ...
    Ich hab' da halt einiges an Zeugs drauf (mehrere, umschaltbare Versionen des gcc, diese jessie Geschichte wegen Kernel ..., irgendein Framebuffer-Relikt, ...) ist halt ein typischer Bastel-RPi.
    Da ist das scheinbar etwas aufwändiger und komplizierter mit den updates.
    Jedenfalls hat das da jetzt auch geklappt ... ist ja schon mal was :bravo2:

    cheers,
    -ds-

  • Code
    pi@raspberrypi ~ $ apt-cache policy bash
    bash:
      Installiert:           4.2+dfsg-0.1+deb7u3
      Installationskandidat: 4.2+dfsg-0.1+deb7u3
      Versionstabelle:
     *** 4.2+dfsg-0.1+deb7u3 0
            500 http://mirrordirector.raspbian.org/raspbian/ wheezy/main armhf Packages
            100 /var/lib/dpkg/status
    pi@raspberrypi ~ $

    Hm, ist der Fehler bei mir jetzt weg???

    Code
    pi@raspberrypi ~ $ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
    this is a test
    pi@raspberrypi ~ $

    weil, vorher kam mal

    Code
    pi@raspberrypi ~ $ env x='() { :;}; echo vulnerable' bash -c "echo this is a tes                                                                t"
    vulnerable
    this is a test
    pi@raspberrypi ~ $

    Das war vor update/upgrade....

    Viele Grüße, Charly

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!