Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?
Forum>Software>APPLE-SA-2014-09-29-1 OS X bash Update 1.0

APPLE-SA-2014-09-29-1 OS X bash Update 1.0

sierkb30.09.1400:16
APPLE-SA-2014-09-29-1 OS X bash Update 1.0
Apple Security Announce, 29.09.2014
Subject: APPLE-SA-2014-09-29-1 OS X bash Update 1.0
From: Apple Product Security <email@hidden>
Date: Mon, 29 Sep 2014 14:59:11 -0700

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

APPLE-SA-2014-09-29-1 OS X bash Update 1.0

OS X bash Update 1.0 is now available and addresses the following:

Bash
Available for: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5,
OS X Mavericks v10.9.5
Impact: In certain configurations, a remote attacker may be able to execute arbitrary
shell commands
Description: An issue existed in Bash's parsing of environment variables. This issue was
addressed through improved environment variable parsing by better detecting the end of
the function statement.
This update also incorporated the suggested CVE-2014-7169 change, which resets the
parser state.
In addition, this update added a new namespace for exported functions by creating a
function decorator to prevent unintended header passthrough to Bash. The names of all
environment variables that introduce function definitions are required to have a
prefix "__BASH_FUNC<" and suffix ">()" to prevent unintended function passing via
HTTP headers.
CVE-ID
CVE-2014-6271 : Stephane Chazelas
CVE-2014-7169 : Tavis Ormandy


OS X bash Update 1.0 may be obtained from the following webpages:
http://support.apple.com/kb/DL1767 – OS X Lion
http://support.apple.com/kb/DL1768 – OS X Mountain Lion
http://support.apple.com/kb/DL1769 – OS X Mavericks

To check that bash has been updated:

* Open Terminal
* Execute this command:
bash --version
* The version after applying this update will be:
OS X Mavericks: GNU bash, version 3.2.53(1)-release (x86_64-apple-darwin13)
OS X Mountain Lion: GNU bash, version 3.2.53(1)-release (x86_64-apple-darwin12)
OS X Lion: GNU bash, version 3.2.53(1)-release (x86_64-apple-darwin11)

Information will also be posted to the Apple Security Updates
web site: http://support.apple.com/kb/HT1222

This message is signed with Apple's Product Security PGP key,
and details are available at:
https://www.apple.com/support/security/pgp/

-----BEGIN PGP SIGNATURE-----
Version: GnuPG/MacGPG2 v2.0.22 (Darwin)

iQIcBAEBAgAGBQJUKdToAAoJEBcWfLTuOo7t4QEP/jrigiLB9GYO5JIdVHSFPUtx
MBr4hAe90LnyAIuhxny1PgAC8BZCPv4otm6DQBQSlX1PxLv8TWm8yp5IKCKJP6ZN
Smm+OqJLLWwcTOVv345bi5W9dp2nyZVLjWxx9MUfn4YLxKrBJ3fKyHWIycD0WpbD
4kfXW1G1JGTtyUX6Ge2lnhbOiYBPxJN2TSX4qEmix3KLmEwCwsZVgbjzW2ijNO0O
3AaUkFIICAECMCE+VZj/fGFQaEmYaPzpt3Tjy+X2NdXL8E0hnui4ymfU0DyR39Oz
QpP499hISeXucdAEH6b2mMO2pOmuDs6FWTSS6talT8ftLUpTmWqv2Rghto5ZXN
b8RZpOp9RUwurZPMq66BjbHfidEaLjMPCVcfAnjO6HwBaKGQ5kM5+ThPA5/DLSL6
gGPa4t3qM/JdQAzm8da9m62vjWZ1BXzIlLSmxpIq/5bDMpBNiA783f+uuDUjpQ/N
3SkKNn2U47VsCLYaoSSmL6FUBLsInnNvwkVyNsnMiEjMVn/BtV5ogAYAc8SSvGM7
Mlx9OBKYork0bNuViPK09j/8te74tt6t38B+0lb4mG5m1r2CyI96f2uVBpKkqDlj
K6INwsDZKqtg1Y+6xtnJb9F3ZNZarzSxZa2C8qKaVCH11vLaXVPJJCrYspWnV8yI
DrlKtF9VhcfUGTKJiRNX
=ZVVk
-----END PGP SIGNATURE——



_______________________________________________
Do not post admin requests to the list. They will be ignored.
Security-announce mailing list (email@hidden)
Help/Unsubscribe/Update your Subscription:

This email sent to email@hidden
0

Kommentare

sierkb30.09.1400:35
Wird nicht ausreichen: .

Zumal die Upstream-Version schon mindestens einen Patch weiter ist – bzgl. der von Apple verwendeten Bash 3.2.x ist die offiziell gepatchte Version mittlerweile bei Patch-Level 54 (upstream released: 28.09.2014), Apple hingegen hat nun gerade den Patch-Level 53 weitergereicht (upstream released: 26.09.2014), siehe dazu auch die bereitliegenden Patches im FTP-Verzeichnis von GNU.org: [url=ftp://ftp.gnu.org/gnu/bash/bash-3.2-patches/]. Der reicht aber leider nicht aus. Da wird Apple wohl noch mindestens ein weiteres Mal nachliefern müssen (die Schlagzahl der Ereignisse ist da derzeit leider sehr schnell und Apple mit Patchen relativ spät dran, obwohl sie, so ist es vom Bash-Hauptentwickler zu lesen , , als einer der Ersten überhaupt und noch bevor das Ganze an die Öffentlichkeit gekommen ist, von ihm mehrmals und mit Nachdruck informiert worden sind). Mindestens einmal, wenn nicht sogar noch öfters (betreffend der weiteren gefundenen Lücken). Wie alle anderen Linux- und Unix-Distributoren das ebenfalls bereits getan haben und weiterhin noch tun müssen.
0
dom_beta30.09.1402:48
toll, kein Update kein 10.6

also, für 10.8 ist hier kein Update zu sehen.
„...“
0
bestbernie30.09.1404:43
10.6 ist tot und stickt bereits.
Ansonsten, wenn du die Binaries aus dem lion paket extrahierst, zb mit pacifist,, kannst du auch 10.6 patchen.
0
dom_beta30.09.1405:13
stickt ?
„...“
0
rene204
rene20430.09.1405:40
Erwartest Du tatsächlich noch Updates für 10.6 ?

Das wäre vergleichbar zum Update zu Windows2000, auch die gibt es schon ganz lange nicht mehr...

Schau mal nach vorn, und nicht immer zurück...
„Gelassenheit und Gesundheit.. ist das wichtigste...“
0
dom_beta30.09.1406:24
das Problem ist, dass die neueren Versionen fehlerbehafteter und instabiler erscheinen als die etwas älteren Systeme.

Und bitte, Windows 2000 kam 1999 auf den Markt.
„...“
0
zod198830.09.1407:24
dom_beta
stickt ?

Stinkt, weil verfault.
0
dom_beta30.09.1407:44
Und wieso verfault es?
„...“
0
zod198830.09.1407:56
Weil es tot ist.
0
atomboy30.09.1408:18
rene204
Erwartest Du tatsächlich noch Updates für 10.6 ?

Das wäre vergleichbar zum Update zu Windows2000, auch die gibt es schon ganz lange nicht mehr...

Schau mal nach vorn, und nicht immer zurück...
Kann den Ärger nachvollziehen. Das letzte Sicherheitsupdate gabs auch noch für 10.6. Es gibt noch genug Macbooks mit C2D, die ganz wunderbar mit >10.6 laufen würden, die Apple aber künstlich wegen der schwachen Onboard-Graka von Intel abgehängt hat. Zum Surfen und 08/15 Textverarbeitung mit LibreOffice reichen die allemal. Haben selber noch so ein Teil, dass mit 4GB RAM (3 davon nutzbar) und einer SSD rennt.
0
MetallSnake
MetallSnake30.09.1408:20
dom_beta
das Problem ist, dass die neueren Versionen fehlerbehafteter und instabiler erscheinen als die etwas älteren Systeme.

Das scheint nur so weil es nun viel mehr Mac Anwender als früher gibt, und daher auch viel mehr Gemecker. Tatsächlich laufen die Systeme aber deutlich besser. Bin jedenfalls mit Mavericks mehr als zufrieden und würd im Traum nicht dran denken auf den ollen Schneeleoparden zurückzugehen.
„Die Menschheit ist eine völlig außer Kontrolle geratene Primatenspezies.“
0
dom_beta30.09.1408:23
ich weiß nicht, betreibe 10.8.5 auf mein MBP Early 11 und mir kommt es manchmal so vor, als ob es nicht wirklich stabil läuft.

10.4 auf meinem iMac lief dagegen richtig gut; 10.6 auf dem MBP auch.

10.6 läuft immer noch auf meinem weißen MacBook mit 16 GB RAM. Schneller und stabiler.
„...“
0
jogoto30.09.1409:08
atomboy
Zum Surfen und 08/15 Textverarbeitung mit LibreOffice reichen die allemal.
Und wo ist dabei ein Problem mit bash zu erwarten?
0
Heuschrecke30.09.1409:26
Bei trockener Lagerung faulen Leichen nicht. Wer stellt bitte seinen Mac ins Nasskalte?
0
stargator30.09.1411:06
sierkb : welcher CVE, der in patch level 54 gefixt wurde tritt denn in der Apple Version noch auf?
ich habe hier zwei übliche Verdächtige getestet und die sind in der Apple Version schon gefixt.

bash -c 'true <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF' || echo "CVE-2014-7186 vulnerable, redir_stack"

(for x in {1..200} ; do echo "for x$x in ; do :"; done; for x in {1..200} ; do echo done ; done) | bash || echo "CVE-2014-7187 vulnerable, word_lineno"

Vielleicht hat ja Apple das eingebaut, bevor der Patch 54 veröffentlicht war. Ist zwar verwirrend, im Rahmen der Sicherheit vertretbar.
0
sierkb30.09.1412:53
stargator:

Currently found shellshock vulnerabilities (with more to come):

CVE-2014-6271 [✓] gefixt in APPLE-SA-2014-09-29-1 OS X bash Update 1.0
CVE-2014-7169 [✓] gefixt in APPLE-SA-2014-09-29-1 OS X bash Update 1.0
CVE-2014-7186 ? gefixt | nicht gefixt in APPLE-SA-2014-09-29-1?
CVE-2014-7187 ? gefixt | nicht gefixt in APPLE-SA-2014-09-29-1?
CVE-2014-6277 ?
CVE-2014-6278 ?
[…]
Vielleicht hat ja Apple das eingebaut, bevor der Patch 54 veröffentlicht war.

Dokumentation & Transparenz sind alles. Erst recht bei dem Chaos, das da derzeit zu dem Thema existiert.

Zudem: ,
und
,
0
dom_beta03.10.1418:14
dom_beta
ich weiß nicht, betreibe 10.8.5 auf mein MBP Early 11 und mir kommt es manchmal so vor, als ob es nicht wirklich stabil läuft.

Dabei fällt mir ein, 10.7 mit 16 GB RAM läuft auf meinem MBP eigentlich auch ganz gut. Ich habe so den Eindruck, dass jene Geräte gut laufen, die mit der entsprechenden Mac OS X Version ausgeliefert wurden.

Ich hatte mal testweise Windows 8 auf dem MBP laufen, aber das MBP war komplett überfordert.
„...“
0

Kommentieren

Diese Diskussion ist bereits mehr als 3 Monate alt und kann daher nicht mehr kommentiert werden.