[SECURITY] Allgemeiner BASH Exploit - Linux Updates einspielen

Dieses Thema im Forum "Server Administration" wurde erstellt von Till, 24. Sep. 2014.

  1. Till

    Till Administrator

    F4RR3LL gefällt das.
  2. nowayback

    nowayback Well-Known Member

    http://www.heise.de/open/meldung/Ba...nden-2403607.html?wt_mc=rss.open.beitrag.atom

     
  3. Till

    Till Administrator

    Na super...
     
  4. F4RR3LL

    F4RR3LL Member

    Für Debian (und vermutlich auch die anderen OS) gibts n neues Update
    bash 4.2+dfsg-0.1+deb7u3
    Das schließt nun hoffentlich die Lücken.

    Gruß Sven
     
  5. nowayback

    nowayback Well-Known Member

    Paket sieht gut aus und sollte nun "sicher" sein.
     
  6. nowayback

    nowayback Well-Known Member

    Quelle: http://www.golem.de/news/shellshock-immer-mehr-luecken-in-bash-1409-109483.html


    https://github.com/hannob/bashcheck

    Wer sein System testen will, kann es ja mal damit versuchen


    Wir haben firmenintern bash erstmal verbannt. Muss eben dash vorerst herhalten.
     
    bobbybackblech gefällt das.
  7. nowayback

    nowayback Well-Known Member

    möglicherweise ist xenserver (basierend auf redhat) hier auch betroffen... wir stellen vermehrt angriffe darauf fest. genaue details kann ich derzeit nicht nennen, aber wer einen solchen server betreibt, möge bitte die augen offen halten.
     
  8. Till

    Till Administrator

    Danke für den Hinweis! Die Bash steckt ja fast überall drin, auch an stellen wo man es nicht auf den ersten Blick vermutet.

    Für alle die einen ISPConfig Server betreiben und keine CGI Scripte nutzen würde ich empfehlen mod_cgi zu deaktivieren. Für php (fcgi, fpm und auch das alte mod_php) braucht Ihr das nicht. Unter Debian und Ubuntu geht es so:

    a2dismod cgi
    /etc/init.d/apache2 restart
     
  9. logifech

    logifech Member

    Gibt es ne Möglichkeit von der BASh zur DASH zu wechseln, natürlich soll meien ISPConfig multi serve rinstallation weiterhin funktionieren?
     
  10. Till

    Till Administrator

    Das müsste wahrscheinlich gehen. hab ich aber nicht getestet. Die Umstellung auf bash erfolgt vor allem weil sich einige Programme mit dash nicht kompilieren lassen.
     
  11. logifech

    logifech Member

    Achso, ok ich dneke Ich werd alles so lassen mit dem Update dürfte es wohl nicht mehr so eien schwere sicherheitslücke sein?
     
  12. F4RR3LL

    F4RR3LL Member

    Also nach den letzten updates und den noch vorhandenen Fehlern sollte man mal die Kirche im Dorf lassen. Der Einstiegsbug war krass, der ist behoben. Nun sind noch Fehler vorhanden, die zwar ausgemerzt gehören, für Ottonormal IRC Bot Betreiber keinen Wert haben. Von daher.... cool down ;)

    Gruß Sven
     
  13. nowayback

    nowayback Well-Known Member

    so würde ich das nicht sehen. ein fehler soll noch aus der ferne ausnutzbar sein. von daher kann es nicht schaden vorsicht walten zu lassen
     
  14. logifech

    logifech Member

    Was würdet ihr den Vorschlagen lieber von der Bahn zur Dash wechseln oder bei der Bash bleiben und abwarten wie sich das Thema entwickelt?
     
  15. F4RR3LL

    F4RR3LL Member

  16. nowayback

    nowayback Well-Known Member

    Wir haben in der Firma vorerst auf dash umgestellt, privat läuft bei mir noch bash, aber privat ist es ein kalkulierbares risiko für mich. Du wirst deine Entscheidung wohl auch für dich treffen müssen. Es gibt da kein Patentrezept. Wenn du bash weiter nutzen willst, dann schau das du den Patch von Weimer installieren kannst (http://www.openwall.com/lists/oss-security/2014/09/25/13)
     
  17. Bzgl. des Bugs - Kann ich hier praktisch einfach "apt-get update / upgrade" machen um den Bug zu beheben ? ( abgesehen von shell -> dash )
     
  18. Till

    Till Administrator

    Ja, immer regelmäßig die OS Updates einspielen.
     
  19. Kann mir das irgendwas zerschiessen mit aktuellen Konfigurationen von nginx / php oder dergleichen ?

    PS: Muss ich hier noch irgend etwas eingeben ?
    Denn dort macht er nicht weiter :)

    [​IMG]
     

Diese Seite empfehlen