Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Apple veröffentlicht Sicherheitsupdate für Bash-Lücke

Apple hatte Ende vergangener Wochen gegenüber Medienvertretern erklärt, dass man an einer Sicherheitsaktualisierung arbeitet, um schnellstmöglich die bekanntgewordene Sicherheitslücke in der Kommandozeile Bash zu beheben. Allerdings wies Apple darauf hin, dass nur Nutzer gefährdet seien, die erweiterte Unix-Funktionen aktiviert haben - es handelt sich zwar um eine kritische Sicherheitslücke, allerdings nur für einen übersichtlichen Teil der Benutzer (Meldung zur Sicherheitslücke: ).

Für Nutzer von OS X Lion, OS X Mountain Lion und OS X Mavericks gibt es jetzt ein Sicherheitsupdate, Apple gibt die Aktualisierung nach und nach für alle Anwender frei. Diese trägt die Bezeichnung "OS X bash Update 1.0" und schließt die Sicherheitslücke auf den drei Systemen. Erforderlich ist die jeweils letzte Versionsnummer der Systeme, also OS X 10.7.5, OS X 10.8.5 und unter Mavericks 10.9.5. Das Update ist nur knapp 3,5 MB klein und lässt sich wie üblich via Software-Aktualisierung bzw. die Updatefunktion des Mac App Stores herunterladen.

Kommentare

mustangberlin
mustangberlin30.09.14 07:47
Besteht die Lücke denn auch noch in Yosemite? Sprich sind Macs mit der Developer oder öffentlichen Beta auch betroffen?
An *apple* a day, keeps Windows away!!
0
jaguar39930.09.14 07:50
Ja, bei mir besteht die Lücke in der Yosemite Beta ebenfalls!
0
pcbastler30.09.14 07:51
Hier (10.9.5) ist's nicht da...
0
fox_rc30.09.14 07:51
MacTechNews.de
Um zu ermitteln, ob die eigene Kommandozeile betroffen ist, lässt sich folgende Zeile ausführen.

env x='() { :;}; echo Verwundbar!' bash -c "echo Dies ist ein Test."

Folgt nach Eingabe und Bestätigung mit Enter der Text "Verwundbar! Dies ist ein Test.", ist die Bash der Kommandozeile gefährdet.
0
exi
exi30.09.14 08:08
Jup - meine Softwareaktualisierung auf MacOS 10.9.5 weiss ebenfalls nichts von einem Update. Gibt's 'nen Downloadlink?
0
iMackerer30.09.14 08:13
Meine Güte...ruhig...
Die Aktualisierung kommt schon noch. Ein bisschen Geduld.
Es ist ja jetzt nicht so, dass hier alle plötzlich ungeschützt im Internet stehen...100% der Kommentatoren hier sind doch eh nicht betroffen. Da kann man doch auch noch die Stunde abwarten, bis der App-Store das anzeigt...
0
soleil
soleil30.09.14 08:17
ich habs mir für 10.5, 10.6 und 10.9 selber kompiliert habe jetzt die neueste Bash mit allen Pasches druff...und das geht
0
o.wunder
o.wunder30.09.14 08:20
fox_rc
Danke für das Zitat mit dem Test.

MTN:
Diesen Test hätte ich im Artikeltext erwartet.

Hier in Mitteldeutschlnd gibt es noch kein Update, weder für 10.7.5 oder 10.9.5. Dauert wohl noch.

Soleil
Dann könntest Du ja das Update für 10.5 und 10.6 anbieten, immerhin etwas das Apple nicht schafft
0
flippidu30.09.14 08:24
@o.wunder
Dieser Test war schon im Originalartikel vorhanden. Der Link dazu ist auch hier im Artikel angezeigt.
0
Luxer30.09.14 08:24
Hallo Leute,

Hier gibt es den Patch für 10.9.5 http://support.apple.com/kb/DL1769

Gruss
Luxer
0
spoelka30.09.14 08:59
naja wenige Nutzer....definitionssache, bei mir sind alle 4 macs verwundbar. ein desaster nach dem anderen, nicht schlimm, nervt, macht unnötige Arbeit, erst die iphones, ipod, ipads mit ioas und jetzt osx, das wäre alles unter steve nicht passiert bzw. wenn doch würden die Herausgeber schon ihr rückflugticket haben und bereits im flieger sitzen....es geht bergab. so so so schade
0
gritsch30.09.14 09:18
so viel schmarrn auf einmal und das auch noch um die uhrzeit...?
spoelka
naja wenige Nutzer....definitionssache, bei mir sind alle 4 macs verwundbar. ein desaster nach dem anderen, nicht schlimm, nervt, macht unnötige Arbeit, erst die iphones, ipod, ipads mit ioas und jetzt osx, das wäre alles unter steve nicht passiert bzw. wenn doch würden die Herausgeber schon ihr rückflugticket haben und bereits im flieger sitzen....es geht bergab. so so so schade
0
stefanmcnett
stefanmcnett30.09.14 09:23
Für alle die evtl. noch mit OSX 10.6.x arbeiten gibt es einen inoffiziellen patch. Da ich selbst noch zwei OSX 10.6 Webserver habe, konnte ich diese Methode dort testen und es funktioniert ohne Probleme.

http://www.macissues.com/2014/09/25/how-to-unofficially-fix-the-shell-shock-bash-vulnerability-in-os-x/

Allerdings muss Xcode 3.2.6 auf dem Rechner Installiert sein damit man das neue Bash Binary erzeugen kann. Ich denke mir hier wissen alle wie man an Xcode kommt.

LG Stefan
0
Zacks
Zacks30.09.14 09:23
…10.6?
Ware wa messiah nari!
0
zod198830.09.14 09:27
Zacks
…10.6?


Nein, nicht mehr unterstützt.
0
o.wunder
o.wunder30.09.14 10:44
flippidu
@o.wunder
Dieser Test war schon im Originalartikel vorhanden. Der Link dazu ist auch hier im Artikel angezeigt.
Das weiss ich auch. Trotzdem wäre es gut den Test direkt noch in diesem Artikel zu haben, nun ja, egal jetzt.

Das Update ist hier in D eh noch nicht da.
0
o.wunder
o.wunder30.09.14 10:47
spoelka
...das wäre alles unter steve nicht passiert bzw. wenn doch würden die Herausgeber schon ihr rückflugticket haben und bereits im flieger sitzen....es geht bergab. so so so schade
Blödes Gerede. Softwarelücken und -Fehler hat es immer gegeben, auch unter Steve Jobs und sich die Entwickler zu vergraulen, macht auch keinen Sinn. Irgendwann sind dann alle guten Entwickler weg und die Guten gehen immer zuerst!
0
Marcel_75@work
Marcel_75@work30.09.14 11:48
Hatte gestern Abend die drei Updates schon hier verlinkt:

0
Rumpelstilzchen
Rumpelstilzchen30.09.14 12:03
Apple hat wieder nur halbe Sachen gemacht (meine persönliche Meinung!). Die Lücke besteht auch in der öffentlichen Beta 3. Einfach mal im Terminal

bash --version

eingeben. Dann kommt sowas raus wie Bash 3.2.xx Diese Version ist angreifbar bis zu Version 3.2.53 und grösser. Die kann man, wenn XCODE installiert ist und man Terminalbefehle aus dem Browser in das Terminalfenster pasten kann, selber patschen. Eine, wie ich finde gute Anleitung ist hier zu finden

http://mac-how-to.wonderhowto.com/how-to/every-mac-is-vulnerable-shellshock-bash-exploit-heres-patch-os-x-0157606/

Es wird sogar sichergestellt, das die alte bash Version gesichert wird aber nach dem Patch eben nicht mehr aktiv.

Bei Yosemite hoffe ich einfach drauf das Apple in einer weiteren Testversion, oder in der GM, das Problem beseitigen wird. In der Zwischenzeit können die, die sich das zutrauen, eben selber alle Versionen gegen dieses Übel rüsten.
0
na_und!30.09.14 12:19
Nebenbei bemerkt, die aktuelle Version der Bash Shell ist 4.3.
Apple weigert sich eine moderne Version mitzuliefern, weil die Bash ab v 3.3 unter der GPL 3 Lizenz läuft.
Die letzte Bash unter GPL 2 ist eben die Version 3.2. Diese ist von 2006.
Yosemite wird also im Herbst 2014 mit einer 8 (in Worten acht) Jahre alte Bash ausgeliefert.

0
Peter Eckel30.09.14 12:21
Erstens: Das oben beschriebene Testkommando ist nicht ausreichend. Im Rahmen des Shellshock-Aufruhrs wurden schon am Freitag und Samstag zwei Lücken aufgedeckt, das obige Kommando testet nur die erste der beiden (unter Linux gab es auch zwei Patches). Der korrekte Test ist (VORSICHT, Zeilenumbruch gehört da keiner rein!):
env X='() { (a)=>\' sh -c "echo date"; cat echo; rm echo
Hierbei darf nicht das aktuelle Datum ausgegeben werden.

Korrekte Ausgabe (gepatchter Bug):
ardbeg:~ pete$ env X='() { (a)=>\' sh -c "echo date"; cat echo; rm echo
date
cat: echo: No such file or directory
rm: echo: No such file or directory

Inkorrekte Ausgabe (Bug nicht gepatcht):
laphroaig:~ pete$  env X='() { (a)=>\' sh -c "echo date"; cat echo; rm -f echo
sh: X: line 1: syntax error near unexpected token `='
sh: X: line 1: `'
sh: error importing function definition for `X'
Tue Sep 30 12:10:49 CEST 2014

Zweitens: Der von Apple auf den Download-Seiten bereitgestellte Patch patcht beide Fehler (CVE-2014-6271 und CVE-2014-7169). Es sind mittlerweile einige weitere mögliche Fehler gefunden worden, die bislang nicht gepatcht sind, aber diese sind deutlich schwieriger auszunutzen, wenn überhaupt (siehe unten). Die Patches sind leider noch nicht verfügbar, auch nicht z.B. für RHEL und Konsorten.

Drittens: Wie schon mehrfach von anderen erwähnt dürfte der Fehler auf den ca. 99% nur als Client betriebenen Macs überhaupt keine Auswirkungen haben. DHCP als Einfallstor fällt laut verschiedenen Quellen aus, da Apple vom DHCP-Client aus keine Shell startet. Wer keine Serverdienste auf seinem Mac laufen hat, kann einigermaßen ruhig schlafen.

Vietens: Das ganze hat absolut nichts mit Steve oder nicht Steve zu tun, unsinniges Geschwätz dieser Art bringt niemanden weiter. Auch ein Steve Jobs hätte einen Bug vom Schlage Heartbleed oder Shellshock nicht vorab erkannt und im Alleingang verhindert (er hätte die Gelegenheit übrigens gehabt, Shellshock war auch zu seinen Lebzeiten schon fast volljährig). Schnellstmöglich patchen und gut.
Ceterum censeo librum facierum esse delendum.
0
Apfelbutz
Apfelbutz30.09.14 13:36
GPL 3 war doch auch der Grund warum Apple SMB selber programmieren musste. Erinnere mich noch gut an die Probleme ab Lion.

Was könnte die Open-Source-Bande in Zukunft noch unter GPL 3 stellen um mir meinen Nutzererlebnis und Sicherheit am Mac zu vermiesen?
Kriegsmüde – das ist das dümmste von allen Worten, die die Zeit hat. Kriegsmüde sein, das heißt müde sein des Mordes, müde des Raubes, müde der Lüge, müde d ...
0
Peter Eckel30.09.14 14:17
Apfelbutz:
Jetzt bin ich aber mal gespannt, inwieweit die bash in der Version 3 Dir Dein Nutzererlebnis und die Sicherheit Deines Macs vermiest.

Und zu Deiner Information, falls Du an Information interessiert bist: bash 4 hatte den Fehler auch.
Ceterum censeo librum facierum esse delendum.
0
miocinq30.09.14 14:41
Auf dem Tenfourfox developement Blog gibt es eine Anleitung, welche drei Bugs patched.
0
PythagorasTraining
PythagorasTraining30.09.14 15:02
Für Download schaut mal hier: http://support.apple.com/downloads/
Aber was mache ich als Nutzer von Topix? Offiziell ist Topix erst für 10.9.4 freigegeben. Der Patch geht aber erst ab 10.9.5

Topix Support Seite
0
genehack30.09.14 15:36
WAS macht der gemeine 10.6.8 user, der des Unix nicht mächtig ist?
0
git push30.09.14 21:43
Apfelbutz
GPL 3 war doch auch der Grund warum Apple SMB selber programmieren musste. Erinnere mich noch gut an die Probleme ab Lion.

Was könnte die Open-Source-Bande in Zukunft noch unter GPL 3 stellen um mir meinen Nutzererlebnis und Sicherheit am Mac zu vermiesen?

Woher mutest du Dir eigentlich mit deinem Unwissen an solche Dinge zu sagen ?!?

Man merkt wie diese Webseite leider verkommt.

Samba ist ein gutes Beispiel warum man switchte. Man war es einfach leid sich mit ständigen Bugreports zu ärgern die durch unzählige OSX Bugs hervorgingen.Apple schafft es einfach nicht ihre Documentationen up2date zu halten bzw. zum Codetausch beitragen wollen. Ganz zu schweigen Probleme durch "Workarounds" erst einmal zum laufen zu bekommen. Apple will nichts anderes als sich bei Projekten bedienen und dann in ihrer glänzenden OSX Box verkaufen.
Apple begreift langsam das sie mit ihrer agressiven Art nicht weit kommen. Schonmal geschaut wie oft Code in den BSD Kernel geht (genau nahezu gegen null) ?
Mit Clang & LLVM fängt man langsam an Alternativen zu schaffen und sich mehr und mehr von restriktiven Anwendungen und Lizenzen zu trennen.

Ständig dieses kindische Geschrei hier auf dieser Webseite und Kommentaren. Es kommen einem die Tränen wenn man in Sachen OSX sich in der Mittagspause auf Blackhat und Rixstep rumtreibt.

Wer zwingend auf neue Samba Versionen angewiesen ist, wird jawohl sein eigenes Ding drehen können. Macports bietet alle tools und man selber wird es doch wohl hinbekommen die Dienste zu tauschen.

Das Apple es auch mit der Security nicht so genau nimmt, sieht man auch schon das man wichtige Anwendungen wie TrustedBSD einfach aus dem Programm nimmt und die Apple Security Guides werden auch schon seit Jahren nicht mehr gepflegt. Aber hey...Apple rocks und macht das schon (irgendwie)
live long and prosper
0
Luzifer
Luzifer30.09.14 22:40
Ich finde es ziemlich armselig von Apple solche krassen Bugs nicht auch in Snow Leopard zu beheben, wo doch noch so viele Leute das einsetzen …
Cogito ergo bumm!
0
ratti
ratti01.10.14 09:03
Peter Eckel

Drittens: Wie schon mehrfach von anderen erwähnt dürfte der Fehler auf den ca. 99% nur als Client betriebenen Macs überhaupt keine Auswirkungen haben. DHCP als Einfallstor fällt laut verschiedenen Quellen aus, da Apple vom DHCP-Client aus keine Shell startet. Wer keine Serverdienste auf seinem Mac laufen hat, kann einigermaßen ruhig schlafen.

Was mir derzeit nicht klar ist: Wie sieht es mit lokalen Applikationen aus?

Das exportieren von Umgebungsvariablen dürfte da doch kein Problem sein?

Gruß,
Jörg
0
o.wunder
o.wunder02.10.14 16:11
git push
Das Apple es auch mit der Security nicht so genau nimmt, sieht man auch schon das man wichtige Anwendungen wie TrustedBSD einfach aus dem Programm nimmt und die Apple Security Guides werden auch schon seit Jahren nicht mehr gepflegt. Aber hey...Apple rocks und macht das schon (irgendwie)
Sehe ich auch so.

Tja, Apple teilt nicht gerne, ist am liebsten immer der Monopolist an einer Sache, siehe jüngster Fall PayPal und ne 6 Jahre alte Bash auszuliefern, nur weil einem die GPL nicht passt, spricht Bände. Sie nehmen nur und geben nix. iMessage sollte mal Open Source werden, sagte noch Steve Jobs am Anfang der Entwicklung, aber nichts ist draus geworden. Sehr schade.

Übrigens, sehe ich das richtig, dass der Fehler bei normaler Nutzung von OS X nicht zum Tragen kommt?
Welche Dienste muss man freischalten, damit die Bash aus dem Internet angesprochen werden kann?
0
Weitere News-Kommentare anzeigen

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.