SHELLSHOCK: Schwere Sicherheitslücke in OS X - was tun?

was tun? abwarten bis ein Patch kommt.
 
Hi,

Nicht völlig irrelevant, denn über einen kontrollierten DHCP Server könnte man DHCP Clients dazu veranlassen Dinge zu tun die nicht im Sinne des Erfinders von DHCP sind ... :)

Aber das man seinen MB nicht einfach in irgendein wildfremdes WLAN hängt ist ja wohl eher selbstverständlich.

Atti
 
Mir geht dieses Ssensations-geile Aufblasen von Thema mit reißerischen Betreff sowas von auf den S*ck...
 
  • Gefällt mir
Reaktionen: secretchord, Chimaira, JoeSixpack und 9 andere
Und wie startet man das von außerhalb des Rechners? Ist echt ein toller Test. Da gibt es einen Befehl mit dem die Shell was machen soll und wenn sie es macht hat man ne Sicherheitslücke…ja ne, is klar. Die "Sicherheitsexperten" wissen schon wie sie Panik verbreiten können um ihr Dasein rechtfertigen zu können… :rolleyes:
 
  • Gefällt mir
Reaktionen: rembremerdinger und W aus D
Mir geht dieses Ssensations-geile Aufblasen von Thema mit reißerischen Betreff sowas von auf den S*ck...


Ich habe deinen Beitrag gemeldet, weil ich stark davon ausgehe, dass dein Kommentar auf mich gemünzt war. Ich gehe davon aus, dass selbst Moderatoren hier nicht das Recht haben, andere Forenteilnehmer, die das Forum in schlechten Zeiten auch schon finanziell unterstützt haben, derart unverschämt anzusprechen. Ich hoffe, das klärt sich.

Sollte ich einer Fehlinterpretation unterliegen, war die Antwort mehr als nur leicht missverständlich.

An alle anderen: Vielen Dank für das Feedback. Das beruhigt mich dann doch sehr. Dann warten wir einfach den Patch ab. Gehe mal davon aus, dass Apple da bald reagiert, alleine schon um keine weiteren negativen Schlagzeilen zu bekommen, egal wie groß die Gefahr nun in Wirklichkeit ist.
 
  • Gefällt mir
Reaktionen: primelinus und Discovery
Solche Sachen kann man auch per Privatnachricht kommunizieren... ;)
 
Solche Sachen kann man auch per Privatnachricht kommunizieren... ;)

Meine Rede. In meinem beruflichen Bereich spricht man in solchen Fällen immer gern (und zurecht) von Vorbildfunktion. Wenn ich mich als Moderator nicht an die grundlegenden Dinge halte, darf ich mich nicht wundern, wenn sich andere auch nicht mehr daran halten.

Aber vielleicht alles ein Missverständnis, wie ich immer noch hoffe. Deshalb zurück zum eigentlichen Thema.
 
Ich meinte eigentlich eher dich. ;) Du hättest durchaus per PN mitteilen können, dass du ihn gemeldet hast. Das muss nicht das ganze Forum wissen.
 
Ich meinte eigentlich eher dich. ;) Du hättest durchaus per PN mitteilen können, dass du ihn gemeldet hast. Das muss nicht das ganze Forum wissen.

Das habe ich schon so verstanden. Deshalb auch meine Antwort. Vielleicht wäre es auch angebracht, dies nicht nur einseitig mitzuteilen, das war der Denkanstoß.
 
Ich habe deinen Beitrag gemeldet, weil ich stark davon ausgehe, dass dein Kommentar auf mich gemünzt war. Ich gehe davon aus, dass selbst Moderatoren hier nicht das Recht haben, andere Forenteilnehmer, die das Forum in schlechten Zeiten auch schon finanziell unterstützt haben, derart unverschämt anzusprechen. Ich hoffe, das klärt sich.

Sollte ich einer Fehlinterpretation unterliegen, war die Antwort mehr als nur leicht missverständlich.

An alle anderen: Vielen Dank für das Feedback. Das beruhigt mich dann doch sehr. Dann warten wir einfach den Patch ab. Gehe mal davon aus, dass Apple da bald reagiert, alleine schon um keine weiteren negativen Schlagzeilen zu bekommen, egal wie groß die Gefahr nun in Wirklichkeit ist.

Dürfen Mods keine eigene Meinung mehr haben nur weil sie Mods sind?
 
Und wie startet man das von außerhalb des Rechners? Ist echt ein toller Test. Da gibt es einen Befehl mit dem die Shell was machen soll und wenn sie es macht hat man ne Sicherheitslücke…ja ne, is klar. Die "Sicherheitsexperten" wissen schon wie sie Panik verbreiten können um ihr Dasein rechtfertigen zu können… :rolleyes:

Bevor Du gegen mich argumentieren willst: Du hast natürlich recht.
Ich halte das ganze auch für vollkommen übertrieben.

Man kann sich folgendes ausdenken:
http://www.cgi101.com/book/ch3/text.html

Die environment Variable könnte ja HTTP_USER_AGENT sein:
Code:
curl -A "env x='() { :;}; echo vulnerable' bash -c \"echo this is a test\"'" http://localhost/cgi-bin/test.cgi

Aber da muss ich dann doh schmunzeln.
Da müsste ja einer ein

Code:
eval "$HTTP_USER_AGENT"

In sein CGI Shell Script schreiben.
Das macht für mich keinen Sinn.
Da kann ich auch gleich "rm -rf blah" als User-Agent nehmen.

PS: Jaja. Geht auch mit QUERY_STRING und dem Kram als Parameter. Aber wer macht denn ein "eval" auf irgendwas.
 
@PMAU: ich verstehe zwar nur Bahnhof, deshalb ja meine Anfrage hier, aber ich gehe mal davon aus, dass Du auch meinst, die vom spiegel proklamierte große Gefahr eher eine theoretische ist. ;)

Ich bin mir sicher, dass es heute einige sehr verunsicherte MAcuser gibt, die genauso wie ich keinerlei Ahnung davon haben, wie die Sache winzuschätzen ist. Deshalb ist es gut, wenn ihr das richtig einordnet und relativiert.
 
Dürfen Mods keine eigene Meinung mehr haben nur weil sie Mods sind?

Solange andere Threads wegen ähnlicher Ergüsse wie dem von Falkgottschalk ungefragt geschlossen werden, ist die Kritik durchaus berechtigt.

Topic: Was genau kann mir eigentlich als Privatuser passieren und wodurch? Also kann einfach so beim surfen was passieren, oder muss ich dafür irgendwelche Mails oder Anhänge öffnen?
 
  • Gefällt mir
Reaktionen: rembremerdinger und primelinus
Solange andere Threads wegen ähnlicher Ergüsse wie dem von Falkgottschalk ungefragt geschlossen werden, ist die Kritik durchaus berechtigt.

Topic: Was genau kann mir eigentlich als Privatuser passieren und wodurch? Also kann einfach so beim surfen was passieren, oder muss ich dafür irgendwelche Mails oder Anhänge öffnen?

weder noch. Du musst auf deinem Mac eine Server einrichten, der einen Dienst im Internet anbietet (und noch ein paar Kriterien erfüllen). Für den Normalnutzer besteht also keine Gefahr.
 
  • Gefällt mir
Reaktionen: MTROmusic
@PMAU: ich verstehe zwar nur Bahnhof, deshalb ja meine Anfrage hier, aber ich gehe mal davon aus, dass Du auch meinst, die vom spiegel proklamierte große Gefahr eher eine theoretische ist. ;)

Ich bin mir sicher, dass es heute einige sehr verunsicherte MAcuser gibt, die genauso wie ich keinerlei Ahnung davon haben, wie die Sache winzuschätzen ist. Deshalb ist es gut, wenn ihr das richtig einordnet und relativiert.

Ich mache Dir mal ein Beispiel, dass Du vielleicht nachvollziehen kannst.
Schau mal auf mal auf die vollkommen fiktive URL:

http://www.coca-cola.de/werbung?action=display

Und jetzt nimm an dahinter steck ein CGI das den Parameter "action" nimmt und wild irgendein Programm aufruft,
dafür nimmt es den Namen aus dem parameter.

Also würde "action=/bin/rm+-rf+./"
Deine Festplatte löschen.

Das ist ein rein theoretischer Angriff, der aber mit dem entsprechend idiotischem Code funktionieren würde.

Jetzt zu dem eigentlichen Problem.
Man kann einem Programm beim Start Umgebungsvariablen mitgeben.

Das tut man so:

env meine_variable="Hallo Welt" /Applications/MeinTollesProgramm.app

Jetzt ist es aber so, dass wenn ich eine Funktion definiere und deren Wert der Variable zuweise,
der Rest der hinter der Funktion steht sofort ausgeführt wird.

Code:
env meine_variable ='() { :;}; echo vulnerable' ls -la /

Das Programm ist hier "ls" und das "echo" darf von der Shell nicht ausgeführt werden.
Das darf nicht sein.

Daraus aber einen funktionierenden Angriff zu konstruieren erfordert, dass ein Shell Script auf Deinem Computer genau diesen Teil

Code:
env meine_variable ='() { :;}; echo vulnerable' ./irgendein_echtes_programm

ausführt.

Das ist natürlich möglich, aber doch sehr weit hergeholt.

Der "Schadcode" ist in dem Fall übrigens das "echo vulnarable" hinter der Funktion.
Ich weiss, das ist jetzt alles sehr viel Detail.

Aber da muss schon einiges zusammenpassen bis das zur Gefahr wird.
 
  • Gefällt mir
Reaktionen: rembremerdinger, Nick Star und zeitlos
So wie ich das verstanden habe sind eigentlich nur WebServer von der Geschichte betroffen. Und die müssten auch entsprechende Skripte nutzen.
Selbst Router können damit nichts anfangen.
Von daher sollte man als privat User keine Probleme haben.

http://www.heise.de/newsticker/meld...hock-ist-noch-nicht-ausgestanden-2403607.html

Was sicher kein Fehler ist, immer als Standard User zu arbeiten und nicht unbedingt als Admin.
 
So wie ich das verstanden habe sind eigentlich nur WebServer von der Geschichte betroffen.
Selbst Router können damit nichts anfangen.
Von daher sollte man als privat User keine Probleme haben.

Alles was von aussen erreichbar ist und zu irgendeinem Zeitpunkt ein shell script ausführt dass dann auch noch eine Umgebungsvariable auswertet.

Du brauchst einen erreichbaren Server (Port), dahinter ein Programm, und dieses Programm muss ein Shell Script aufrufen und dabei eine Umgebungsvaribale setzen.
Mit dem oben genanten Inhalt und entsprechendem Schadcode Teil (das "echo").
Das würde ich gerne mal sehen. Das ist wie ein Sechser im Lotto.
 
Zurück
Oben Unten