Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Apple will Lücke in Kommandozeile zeitnah beheben

Apple hat gegenüber Medienvertretern erklärt, dass man an einer Sicherheitsaktualisierung arbeitet, um schnellstmöglich die bekanntgewordene Sicherheitslücke in der Kommandozeile Bash zu beheben (siehe ). Allerdings weist Apple darauf hin, dass nur Nutzer gefährdet seien, die erweiterte Unix-Funktionen aktiviert haben. Bei einer Standardinstallation von OS X sind Nutzer nicht gefährdet, da die Bash in diesem Fall weder im Netzwerk noch aus dem Internet direkt oder indirekt erreichbar ist. Angreifer können daher keine schädlichen Programmanweisungen einschleusen.

Mittlerweile besteht aber ein anderer Gefahrenherd in Form veralteter DSL-Router, da auch diese meist mit einem Unix-kompatiblen System und der Bash ausgestattet sind. Sofern hier CGI-Skripte mit Bash-Befehlen zum Einsatz kommen, besteht die Gefahr der Router-Manipulation. Hier würde es Angreifern schon ausreichen, eine präparierte Webseite über den Web-Browser im lokalen Netzwerk einzuschleusen. Laut Heise Security steht bisher nur fest, dass Router mit Busybox nicht betroffen ist.

Anders sieht es bei Industrie-Anlagen mit einigen ICS- und SCADA-Systemen aus, auf denen die Bash zum Einsatz kommt. Zudem hat sich gezeigt, dass die bereits veröffentlichten Sicherheits-Updates für Linux die Lücke nicht gänzlich schließen. Das Sicherheitsproblem besteht damit immer noch und es wurden bereits einige Angriffe auf CGI und Bash registriert.

Weiterführende Links:

Kommentare

soleil
soleil26.09.14 09:11
auch in älteren OS X ? sicher nicht ^^
0
o.wunder
o.wunder26.09.14 09:29
Ich bin auch mal gespannt für welche Systeme Apple eine Aktualisierung bringt.

Anscheinend ist ein OS X Anwender aber durch Aufruf einer präparierten Webseite nicht gefährdet, sagt Apple. Ich würde das gerne mal testen. Falls also jemand eine Testseite kennt, her damit.
0
gritsch26.09.14 09:51
niemand ist über so eine testseite gefährdet.

wenn, dann infiziert jemand einen der wenigen anfälligen webserver bzw die webseiten die er ausliefert. über eine solch infizierte seite kann er dann jeglichen schadcode ausliefern der aber vom zielsystem (Windows, iOS, Mac OS etc) ausgeführt werden muss (und für iOS und Mac OS X sind meines wissens keine solchen lücken bekannt).
o.wunder
Ich bin auch mal gespannt für welche Systeme Apple eine Aktualisierung bringt.

Anscheinend ist ein OS X Anwender aber durch Aufruf einer präparierten Webseite nicht gefährdet, sagt Apple. Ich würde das gerne mal testen. Falls also jemand eine Testseite kennt, her damit.
0
o.wunder
o.wunder26.09.14 10:14
gritsch
Sach ich ja, keine Gefährdung. Ne Testseite im Internet mit infiziertem CGI wäre trotzdem interessant.
0
o.wunder
o.wunder26.09.14 10:27
Ich frage mich nur wo ich "Unix-Dienste für Fortgeschrittene" in OS X einschalten kann, bzw welche Dienste der Benutzer eben besser nicht einschaltet. Warum ist Apple da nicht mal etwas genauer? Verharmlosung hilft niemandem.
0
gritsch26.09.14 10:28
versteh ich nicht? was willst du für eine testseite? jede webseite auf der schadcode verbreitet wird kannst du als "testseite" verwenden. warum die seite schadcode verbreitet ist ja egal (ob gewollt, ob über gehackten ad-server, ob server durch bash-lücke kompromitiert oder server sonstwie aufgebrochen ist ja egal - kann man auch nicht feststellen)
o.wunder
gritsch
Sach ich ja, keine Gefährdung. Ne Testseite im Internet mit infiziertem CGI wäre trotzdem interessant.
0
gritsch26.09.14 10:30
weil niemand wirklich wissen kann über welche software der shell-bug ausgenützt werden kann.
so wie es im moment aussieht sind aber nur sehr wenige dienste mit sehr exotischer konfiguration betroffen (im ganzen internet wurden an die 3000 solcher systeme gefunden, bei heartbleed waren es hundertausende).
o.wunder
Ich frage mich nur wo ich "Unix-Dienste für Fortgeschrittene" in OS X einschalten kann, bzw welche Dienste der Benutzer eben besser nicht einschaltet. Warum ist Apple da nicht mal etwas genauer? Verharmlosung hilft niemandem.
0
sierkb26.09.14 14:13
gritsch
so wie es im moment aussieht sind aber nur sehr wenige dienste mit sehr exotischer konfiguration betroffen

Ja, wo sieht es denn danach aus?
(im ganzen internet wurden an die 3000 solcher systeme gefunden

Du hast aber schon mitbekommen, dass das diesbzgl. mal eben schnell geschriebene Scan-Skript des Betreffenden fehlerhaft war und aufgrund eines Programmierfehlers auf seiner Seite nach 3000 gefundenen Systemen abgebrochen hatte und dass er zugesagt hat, das Skript zu verbessern und dann neue Ergebnisse vorzulegen (welche mit großer Wahrscheinlichkeit über die ad hoc bis zum Abbruch des Scan-Skriptes gefundenen 3000 gefundenen verwundbaren Systeme hinausgehen werden)?
bei heartbleed waren es hundertausende

Warten wir's mal ab. Es wird von nicht wenigen Kennern übereinstimmend geschrieben, dass dieser Bash-Bug den Heartbleed-Bug auch was die Nachhaltigkeit angeht, noch bei weitem übertreffen könnte von der Verbreitung und von den Auswirkungen und der einfachen Verwundbarkeit her.
Von daher wäre ich mal sehr zurückhaltend und vorsichtig mit vorzeitiger Entwarnung und Kleinrednerei. Das Ausmaß und Potential ist grad' mal ansatzweise bekannt, lässt sich allenfalls erahnen. Entsprechend auch die Reaktionen bei denen, die sich derzeit damit eingehend beschäftigen.
0
sierkb26.09.14 14:17
Übrigens:

Ich warte drauf, dass diese 2. notwendig gewordenen Patches, wie angekündigt, ab heute unter zu finden sind (und damit offiziell geworden sind). Verschiedene Linux-Distributoren verteilen sie angeblich schon. Möglich, dass Apple auch deshalb noch wartet. Dann allerdings sollten auch sie meiner Ansicht nach in die Hufe kommen und verteilen.
0
dom_beta26.09.14 19:32
Gibt es auch Patches für ältere OS X Versionen?

Am besten bis runter bis 10.6
...
0
ratti
ratti26.09.14 20:22
sierkb
Verschiedene Linux-Distributoren verteilen sie angeblich schon.
Ich hatte am Freitag morgen um 9 Uhr den 2. Patch für Debian Wheezy bereits vorliegen. Der erste Patch war am Donnerstag da.
0
ratti
ratti26.09.14 20:39
o.wunder
gritsch
Sach ich ja, keine Gefährdung. Ne Testseite im Internet mit infiziertem CGI wäre trotzdem interessant.

Allein die Frage ist schon falsch.

Die Bash-Lücke betrifft alle Tools, die intern Daten durch die bash durchleiten. Das tut dein Browser nicht, was soll man also auf der Website eines „infizierten“ Servers?


Betroffen sind schon mal lokale Programme. Die könnten eine Shell-Variable setzen, die dann zur Wirkung kommt, wenn ein ANDERES Programm völlig legitim Rootrechte anfordert. Also, sagen wir mal zum Beispiel: „LustigesSpiel.app“ setzt die Variable. Und beim nächsten Start von Parallels oder Fusion kommt das zur Auswirkung.

Grundsätzlich interessant sind auch alle „Server“-Dienste auf dem Rechner. „Ach, wer btreibt denn schon einen Apache als CGI?“ mag man da fragen, aber es laufen durchaus Dienste, die nach draussen lauschen: DHCP, NTP, Bonjour,… im Augenblick ist einfach niemandem klar, was da so alles betroffen ist. Es ist jetzt nicht soooo rasend ungewöhnlich, aus einem solchen Dienst heraus „was auszuführen“ und sich dazu der bash zu bedienen.

Ich würde vermuten, dass auf einem normalen Client-Mac das Gefährdungspotential eher geringer ist, aber das überblickt derzeit keiner. Und wenn der Mac an einem Mac-Server hängt, sieht die Welt auch gleich wieder ganz anders aus, denn da herrscht ja ein ganz anderes „Vertrauensverhältnis“.

Obligatorischer Rant: Apple soll sich mal von seiner GPL3-Angst freimachen und sein Userland auf den aktuellen Stand bringen. Dann könnten sie schneller reagieren, und wir müssten uns in der Shell nicht mit Steinzeitversionen rumärgern. Nur mal so am Rande…:

$ /usr/local/bin/rsync --version
rsync  version 3.0.9  protocol version 30

$ /usr/bin/rsync --version
rsync  version 2.6.9  protocol version 29

Gruß, Jörg
0
sierkb27.09.14 04:00
ratti:

+1

Robert Graham (24.09.2014): Bash 'shellshock' bug is wormable

Jonathan Zdziarski (26.09.2014): Shellshock OpenSSH restricted shell RCE/PE Proof of Concept


Und Apple’s great GPL purge passt zu Deinem letzten Absatz.
0
dom_beta27.09.14 20:18
Danke, sierkb
...
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.