SHELLSHOCK: Schwere Sicherheitslücke in OS X - was tun?

Im übrigen soll die Lücke seit 25 Jahren bestehen...wieso da jetzt Hektik entsteht verstehe ich auch nicht ;-)...
Aber die Linuxer das muss man schon mal sagen sind da (nach publik werden) direkt (wenn man das so bezeichnen kann) am fixen des Problems :).
 
Ich will folgendes noch mal hervorheben, denn ihr braucht keinen Webserver um ggf. verletzlich zu sein:
NeoAtti schrieb:
Nicht völlig irrelevant, denn über einen kontrollierten DHCP Server könnte man DHCP Clients dazu veranlassen Dinge zu tun die nicht im Sinne des Erfinders von DHCP sind ... :)
Zum Vergrößern anklicken....
Eine DHCP Abfrage führt euer Rechner immer dann aus, wenn ihr z.B. eine Adresse a la "www.xyz.de" eingebt (Caching etc. mal ignoriert). Die Sache ist insbesondere dann unlustig, wenn ihr den "Endpunkt" nicht kennt, so z.B. in fremden WLANs. Wenn OSX betroffen ist, besteht wohl auch die Chance, dass dies bei iOS so ist. Das wurde allerdings noch nicht bestätigt.

Das Problem ist in der Software (also Bash) schon seit einigen Stunden behoben. Nicht ganz, ist nur ein erster Teil, aber der macht sie Ausnutzung schon so schwer, dass es fast irrelevant ist.
Wann (und ob?) Apple den Fix einbaut steht in den Sternen. Die aktuelle Version von Bash ist 4.3.25, während auf OSX per default noch 3.2.51 läuft.
 
Kaito schrieb:
Eine DHCP Abfrage führt euer Rechner immer dann aus, wenn ihr z.B. eine Adresse a la "www.xyz.de" eingebt (Caching etc. mal ignoriert)
Zum Vergrößern anklicken....

Ist das nicht eine DNS-Abfrage? Mit DHCP hat das doch nichts zu tun, oder irre ich mich da?
Gruß, Gaz
 
Damit hast du natürlich recht, ich hab mich verlesen. :S
Macht die Sache allerdings nicht anders/besser, also bezüglich dessen, was danach steht.
 
Scheinbar scheint die OpenSource Community da wirklich schneller zu sein als Apple. Die Lücke wurde in Debian, Ubuntu und Linux Mint gestern schon gefixt.
 
Macports hat die bash auch längst gepatcht. :Pfeif:
 
Eben wurde mir unter Ubuntu 14.04 LTS ein weiterer Patch für diese Lücke angezeigt. War anscheinend gestern noch nicht vollständig gefixt.

Gestern: bash (4.3-7ubuntu1, 4.3-7ubuntu1.1)
Heute: bash (4.3-7ubuntu1.1, 4.3-7ubuntu1.2)
 
Richtig. Man benötigte aber nach dem ersten Patch (partiellen) Kommandozeilenzugriff um die Lücke weiterhin ausnutzen zu können, was doch relativ unwahrscheinlich ist.
Kaito schrieb:
Das Problem ist in der Software (also Bash) schon seit einigen Stunden behoben. Nicht ganz, ist nur ein erster Teil, aber der macht sie Ausnutzung schon so schwer, dass es fast irrelevant ist.
Zum Vergrößern anklicken....
 
  • Gefällt mir
Reaktionen: Suendenbock
zeitlos schrieb:
@PMAU: ich verstehe zwar nur Bahnhof, deshalb ja meine Anfrage hier …

Ich bin mir sicher, dass es heute einige sehr verunsicherte MAcuser gibt, die genauso wie ich keinerlei Ahnung davon haben, wie die Sache winzuschätzen ist. Deshalb ist es gut, wenn ihr das richtig einordnet und relativiert.
Zum Vergrößern anklicken....

Siehst Du? Genau das meine ich. Keine Ahnung wie man die Sache einschätzen soll und dann der Titel "Schock - schwere Sicherheitslücke".


zeitlos schrieb:
Ich habe deinen Beitrag gemeldet, weil ich stark davon ausgehe, dass dein Kommentar auf mich gemünzt war. Ich gehe davon aus, dass selbst Moderatoren hier nicht das Recht haben, andere Forenteilnehmer, die das Forum in schlechten Zeiten auch schon finanziell unterstützt haben, derart unverschämt anzusprechen. Ich hoffe, das klärt sich.
Zum Vergrößern anklicken....

Ich habe geschrieben, dass das MIR auf den S*ck geht, nicht dem Forum - und das ist meine persönliche Meinung. Die kann mir niemand nehmen. :)


Was soll an meiner Feststellung unverschämt sein und was soll sich klären? Ist es unverschämt dass ich eine eigene Meinung habe? Eine andere als Deine? Hust..
 
falkgottschalk schrieb:
Was soll an meiner Feststellung unverschämt sein und was soll sich klären? Ist es unverschämt dass ich eine eigene Meinung habe? Eine andere als Deine? Hust..
Zum Vergrößern anklicken....

Ich sehe schon, wir werden uns nicht einig. Dass Du anderen Nutzern "Sensationsgeilheit" unterstellst (ein Betreff schreibt sich nicht von allein, das sollte Dir klar sein) und Deine Art Dich im Weiteren auszudrücken ohne mit irgend einer Silbe ein Wort zur eigentlichen Frage zu sagen (sogar "normale" User haben bemerkt, dass man derlei Dinge, die OT sind, am besten per PN klärt, gerade als Moderator sollte man das beherzigen, um keine Diskussionen entstehen zu lassen, die andere User nicht interessiert bzw. eher stört), zeigt mir, dass wir die Netiquette und sonstigen Regeln (z.B. beim Thema zu bleiben) dieses Forums ziemlich verschieden interpretieren.

Ich hoffe hier weiter auf Klärung, auch im Sinne anderer Benutzer dieses Forums. Man kann sich ja mal im Ton vergreifen, sogar als Moderator. Aber spätestens nach einem Tag drüber schlafen sollte man dies merken. Gerade als Moderator. Schlechter Umgang mit anderen Forumsteilnehmern fällt nicht unter "eigene Meinung". Ich hoffe immer noch, dass sich die Sache klärt. Und ich hoffe, dass Du Dich in diesem Fall nicht selbst moderierst.
 
  • Gefällt mir
Reaktionen: rembremerdinger, alemkra, MTROmusic und 3 andere
zeitlos schrieb:
Ich sehe schon, wir werden uns nicht einig.
Zum Vergrößern anklicken....
Wenn Du unter "einig werden" lediglich verstehst dass alle anderen Deine Meinung teilen, dann wird das schwierig...

zeitlos schrieb:
… ohne mit irgend einer Silbe ein Wort zur eigentlichen Frage zu sagen (sogar "normale" User haben bemerkt, dass man derlei Dinge, die OT sind, am besten per PN klärt, gerade als Moderator sollte man das beherzigen, um keine Diskussionen entstehen zu lassen, die andere User nicht interessiert
Zum Vergrößern anklicken....

Der einzige, der eine öffentliche Diskussion losgetreten hat, bist Du. Entsprechende Hinweise hast Du auf Deinen Post bekommen. :noplan:

zeitlos schrieb:
Ich hoffe hier weiter auf Klärung, auch im Sinne anderer Benutzer dieses Forums. Man kann sich ja mal im Ton vergreifen, sogar als Moderator. Aber spätestens nach einem Tag drüber schlafen sollte man dies merken. Gerade als Moderator. Schlechter Umgang mit anderen Forumsteilnehmern fällt nicht unter "eigene Meinung". Ich hoffe immer noch, dass sich die Sache klärt.
Zum Vergrößern anklicken....

Soso. Wer nicht Deiner Meinung ist vergreift sich im Ton und ist ein schlechter Umgang? Interessante Interpretation.
Ich mag keinen Solipsismus.
 
Also mal ganz ehrlich, falk, Du benimmst dich daneben. Es ist doch gut,
dass die Sicherheitslücke erwähnt wird. Soll denn besser niemand etwas
dazu sagen? Wäre doch auch falsch, oder? Und User wegen des Wordings
verurteilen, und dann selber keine Kritik anzunehmen, ist doch auch nicht richtig.

Schau mal raus, blauer Himmel, schöner Herbsttag – zumindest hier – ist doch
genau die richtige Zeit, tolerant, freundschaftlich und fair zu sein oder zu sagen,
sorry, war nicht so gemeint. Und du weisst auch, dass wenn du oder andere
losgifteln, rasch eine Entourage auftaucht, die das gut findet, ganz gleich, ob
sie etwas zum Thema beitragen oder nicht. Sich auf die Abzustützen bringt nichts.

Denk daran: Nicht das was du sagst oder schreibst ist wahr, sondern das,
was der andere hört oder liest.

In diesem Sinne - schönen Tag von hier zu dir.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: BingoBongo, rembremerdinger, alemkra und 3 andere
Discovery schrieb:
Also mal ganz ehrlich, falk, Du benimmst dich daneben.
Zum Vergrößern anklicken....

sehe ich absolut nicht so.

Discovery schrieb:
Es ist doch gut,
dass die Sicherheitslücke erwähnt wird. Soll denn besser niemand etwas
dazu sagen? Wäre doch auch falsch, oder?
Zum Vergrößern anklicken....

Die Frage ist, ob man reisserische Posts schreiben soll, oder interessiert nachfragen oder bewerten oder diskutieren will. Die ersteren haben wohl zuviel Bild-Zeitung gelesen und ihre Umgangsformen daraus abgeleitet. Ich kann Falk gut verstehen: sowas kann einem auf den S*ck gehen.

Discovery schrieb:
Und User wegen des Wordings
verurteilen, und dann selber keine Kritik anzunehmen, ist doch auch nicht richtig.
Zum Vergrößern anklicken....

an Falk ist (zumindest in diesem Punkt :crack:) keine Kritik angebracht. "Das Wording" ist das, wie man Informationen rüberbringt. In fünf Zentimeter grossen roten Buchstaben mit "Horror" und "Schock" im Titel, oder auf zivilisierte Weise.

Discovery schrieb:
Denk daran: Nicht das was du sagst oder schreibst ist wahr, sondern das,
was der andere hört oder liest.
Zum Vergrößern anklicken....

Oben meintest du doch gerade noch, man soll das "Wording" nicht so ernst nehmen :noplan:
 
Discovery schrieb:
Und du weisst auch, dass wenn du oder andere
losgifteln, rasch eine Entourage auftaucht, die das gut findet, ganz gleich, ob
sie etwas zum Thema beitragen oder nicht.
Zum Vergrößern anklicken....

Da antworte ich doch gleich mit einem Zitat, so wie das Intellektuelle so gerne tun :D :

Auch dir einen schönen Tag walfrieda.

Zeit das Forum zu verlassen, ist schon spät.
 
Discovery schrieb:
Da antworte ich doch gleich mit einem Zitat, so wie das Intellektuelle so gerne tun :D :
Zum Vergrößern anklicken....

soviel Selbstreflexion hätte ich jetzt nicht von dir erwartet - denn derjenige, der rein gar nix zum Thema beigetragen hat, bist du. Ich dagegen hatte in Post 17 eine klare Aussage zur (weitgehend nur theoretischen) Gefährdung durch diesen "Horror - wir müssen alle sterben!!"-Bug gemacht.

Discovery schrieb:
Auch dir einen schönen Tag walfrieda.

Zeit das Forum zu verlassen, ist schon spät.
Zum Vergrößern anklicken....

spät? Bei mir ist es früh. Aber was solls, unterschiedliche Leute sehen die Welt unterschiedlich. :crack:
 
sack, sack. es geht doch.
 
Discovery schrieb:
Und User wegen des Wordings
verurteilen, und dann selber keine Kritik anzunehmen, ist doch auch nicht richtig.
Zum Vergrößern anklicken....
Das Wording* ist nicht das Problem.

Sondern dass auf der Portalseite bei MU steht "SCHWERE SICHERHEITSLÜCKE!"

Da kannst du auch schreiben "Mutter hackt Kind Hand ab". was denkt denn der Otto-Normaluser? Richtig. Dass die Bösen gerade dabei sind, seine Passwörter zu klauen und die Konten leerzuräumen. Ist das notwendig?

Ist zwar letztlich nur von den Spinnern bei SPON zitiert, aber ich kann nachvollziehen, dass der Mega-Giga-Tera-Wahn irgendwann nervt.

So schwer kann die Lücke nicht sein wenn sie schon bei allen großen Distributionen gefixt ist und den normalen User überhaupt nicht betrifft.

Da hat sich mal wieder ein Sicherheitsexperte ein Fleißsternchen verdient und seine 5 Min Ruhm bekommen.

Meine Meinung: Man muss nicht stumpf alles abschreiben was der Spiegel schreibt. ;)

Ist das ein Drama? Sicher nicht. Aber aus Falks Formulierung muss man auch keins machen. Gelassen zur Kenntnis nehmen oder auch kommentieren. Aber "die Vorbildfunktion" so aufzubauschen halte ich für übertrieben. Passt aber zum Threadtitel. Der ist auch übertrieben. Insofern ist der TE wenigstens konsequent. :hehehe:

--
* Warum eigentlich "wording"? Passt "Wortwahl" nicht oder hab ich verpasst, dass wording noch was anderes bedeutet? :noplan:
 
  • Gefällt mir
Reaktionen: Chimaira, walfrieda und osh
zeitlos schrieb:
Ich sehe schon, wir werden uns nicht einig. Dass Du anderen Nutzern "Sensationsgeilheit" unterstellst (ein Betreff schreibt sich nicht von allein, das sollte Dir klar sein) und Deine Art Dich im Weiteren auszudrücken ohne mit irgend einer Silbe ein Wort zur eigentlichen Frage zu sagen (sogar "normale" User haben bemerkt, dass man derlei Dinge, die OT sind, am besten per PN klärt, gerade als Moderator sollte man das beherzigen, um keine Diskussionen entstehen zu lassen, die andere User nicht interessiert bzw. eher stört), zeigt mir, dass wir die Netiquette und sonstigen Regeln (z.B. beim Thema zu bleiben) dieses Forums ziemlich verschieden interpretieren.

Ich hoffe hier weiter auf Klärung, auch im Sinne anderer Benutzer dieses Forums. Man kann sich ja mal im Ton vergreifen, sogar als Moderator. Aber spätestens nach einem Tag drüber schlafen sollte man dies merken. Gerade als Moderator. Schlechter Umgang mit anderen Forumsteilnehmern fällt nicht unter "eigene Meinung". Ich hoffe immer noch, dass sich die Sache klärt. Und ich hoffe, dass Du Dich in diesem Fall nicht selbst moderierst.
Zum Vergrößern anklicken....

In den ueber neun Jahren Mitgliedschaft hier ist dir noch nie aufgefallen, dass falkgottschalk in fast jedem zweiten Beitrag andere User wegen ihrer ach-so-dummen Posts herabwuerdigt und verunglimpft?
 
  • Gefällt mir
Reaktionen: primelinus
bikkuri schrieb:
In den ueber neun Jahren Mitgliedschaft hier ist dir noch nie aufgefallen, dass falkgottschalk in fast jedem zweiten Beitrag andere User wegen ihrer ach-so-dummen Posts herabwuerdigt und verunglimpft?
Zum Vergrößern anklicken....
Ich hatte eher den Eindruck, dass das ein Hobby von dir ist. Kann mich aber auch irren.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten