Ankündigung

Einklappen
Keine Ankündigung bisher.

smarthome.pi - ShellShock

Einklappen
Dieses Thema ist geschlossen.
X
X
Einklappen
 
  • Seite von 1
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige template Weiter
    #1

    smarthome.pi - ShellShock

    Hintergrund: ShellShock

    Hier im Forum: Infos im Wiregate-thread

    Bin ich mit einer aktuellen smarthome.pi-Installation (Update heute gemacht, Revision 560) betroffen? Ja.

    Prüfen:
    Code:
    env X="() { :;} ; echo busted" `which bash` -c "echo completed"
    Ausgabe 'busted' zeigt, dass die Lücke besteht.

    Beheben:
    Code:
    sudo apt-get update
sudo apt-get install bash
    Prüfen:
    Code:
    env X="() { :;} ; echo busted" `which bash` -c "echo completed"
env X="() { :;} ; echo busted" /bin/sh -c "echo completed"
    Fehlende Ausgabe 'busted' zeigt, dass die Lücke nicht mehr besteht.

    Alle Angaben ohne Gewähr (Quelle). Bei mir sind bisher keine Nebeneffekte aufgetreten, auch nicht mit den Update-Skripten von smarthome.pi - sind auch eigentlich nicht zu erwarten.
    Stichworte: -
    #2
    Hallo,

    Zitat von DiMa Beitrag anzeigen
    Bin ich mit einer aktuellen smarthome.pi-Installation (Update heute gemacht, Revision 560) betroffen? Ja.
    wie kommst Du zu dieser Aussage?
    Mir ist kein cgi-bekannt das die Bash direkt aufruft. Daher sollte man die Lücke auch nicht ausnützen können.

    Davon abgesehen schadet ein Update im Normalfall auch nicht.

    Bis bald

    Marcus

    Kommentar

      #3
      Es muss kein CGI geben, wenn die Bash als System-Shell eingetragen ist; falls
      Code:
      ls -lA /bin/sh
/bin/sh -> [B]bash[/B]
      ist man dabei..

      Makki
      EIB/KNX & WireGate & HS3, Russound,mpd,vdr,DM8000, DALI, DMX
      -> Bitte KEINE PNs!

      Kommentar

        #4
        Hallo,

        ja, ist aber auch nicht.

        Bis bald

        Marcus

        Kommentar

          #5
          Ah ja?
          Das kommt jedoch auf die individuelle Antwort bei einer Frage während der Installation an (dash oder bash..)

          Nachdem (hier) ein Update ja längst verfügbar ist, verstehe ich ehrlichgesagt nicht, warum man dagegen anredet oder versucht es runterzuspielen, statt dieses Update einfach zu empfehlen, so wie es der TE getan hat;
          Muss wirklich erst ein Wurm durch ne Million Hosts laufen, bis man dieses IMHO erhebliche Problem auch Ernst nimmt?
          Es dünkt mich, das das ziemlich grob unterschätzt wird..
          Edit: Und ob andere Shells auch betroffen sind, wissen wir alle noch nicht wirklich..

          Makki
          EIB/KNX & WireGate & HS3, Russound,mpd,vdr,DM8000, DALI, DMX
          -> Bitte KEINE PNs!

          Kommentar

            #6
            Wir werden alle sterben!!!

            Hallo Makki,

            im (professionellen) Umfeld betreibt man etwas das heist Risikomanagement.
            Bei dem Risikomanagement beurteilt man welches Risiko aus einer Schwachstelle entsteht (Risikoeinschätzung). Dabei wird die Eintrittswahrscheinlichkeit mit dem pot. Schaden verbunden.

            Die Schwachstelle ist die hier die Schwachstelle der Bash. Die Eintrittswahrscheinlichkeit ist hier 0 (Null), da kein Shell-CGI aufgerufen wird.
            Egal welcher Schaden entstehen könnte, das Risiko bleibt 0 (Null).

            @DiMa: Leider habe ich es versäumt Danke zu sagen. Danke für die Information/Thread. Ich teile nur die Aussage nicht ob man betroffen ist.

            Zitat von makki Beitrag anzeigen
            Nachdem (hier) ein Update ja längst verfügbar ist, verstehe ich ehrlichgesagt nicht, warum man dagegen anredet oder versucht es runterzuspielen, statt dieses Update einfach zu empfehlen, so wie es der TE getan hat;
            Ich sage ja nur, das die normalen User des Images nicht betroffen sind und das man ein Update einspielen kann.

            Zitat von mknx Beitrag anzeigen
            Davon abgesehen schadet ein Update im Normalfall auch nicht.
            Zitat von makki Beitrag anzeigen
            Es dünkt mich, das das ziemlich grob unterschätzt wird..
            Und mir dünkt es, Ihr macht daraus nur eine aufgeblähte Marketingaktion.

            Aber damit die Welt ein besserer Ort wird und ich den Thread zumachen kann: Bitte liebe Benutzer des Images, spielt das Update ASAP ein!

            Ihr braucht Euch hier nicht zu melden, wenn das Update geklappt hat. Die Bash spielt bei dem Image keine tragende Rolle.
            Wenn es wieder erwarten doch Probleme geben sollte, so könnt Ihr gerne einen neuen Thread aufmachen.

            Bis bald

            Marcus

            Kommentar

            Vorherige template Weiter
            Lädt...
            X

            Wir verarbeiten personenbezogene Daten über die Nutzer unserer Website mithilfe von Cookies und anderen Technologien, um unsere Dienste bereitzustellen. Weitere Informationen findest Du in unserer Datenschutzerklärung.

            Indem Du unten auf "ICH stimme zu" klickst, stimmst Du unserer Datenschutzerklärung und unseren persönlichen Datenverarbeitungs- und Cookie-Praktiken zu, wie darin beschrieben. Du erkennst außerdem an, dass dieses Forum möglicherweise außerhalb Deines Landes gehostet wird und bist damit einverstanden, dass Deine Daten in dem Land, in dem dieses Forum gehostet wird, gesammelt, gespeichert und verarbeitet werden.

            Ich stimme zu