SHELLSHOCK: Schwere Sicherheitslücke in OS X - was tun?

Da seht ihr mal, was diese Sicherheitslücke in Wahrheit für ein Potential hat: Sie hetzt Scharen an unschuldigen Forenteilnehmern gegeneinander auf! Möge sie schnell geschlossen werden. :jaja:

(SCNR) :hehehe:
 
  • Gefällt mir
Reaktionen: rembremerdinger und madu
Es heißt ja auch nur deshalb Sicherheitslücke weil man um Leib, Leben und die Sicherheit diskutierender Macuser fürchtet. :hehehe:
 
***Hüstel...***

Ich würde gerne wieder etwas zum Thema beitragen...

NeoAtti schrieb:
Nicht völlig irrelevant, denn über einen kontrollierten DHCP Server könnte man DHCP Clients dazu veranlassen Dinge zu tun die nicht im Sinne des Erfinders von DHCP sind ... :)

Aber das man seinen MB nicht einfach in irgendein wildfremdes WLAN hängt ist ja wohl eher selbstverständlich.
Zum Vergrößern anklicken....

Da ich öfter mal unterwegs bin und mein MB dann auch dabei habe, um es unterwegs zu nutzen, kommt es schon öfter mal vor, dass ich mich in fremde Netze einbuche (Flughafen, Hotel-WLan etc.). Ich vermute, dass ich nicht der einzige bin, der seinen portablen Computer dafür benutzt unterwegs ab und zu mal über ein WLan (oder Lan) seine Mails zu checken.

Bezüglich der erwähnten DHCP-Möglichkeit von Shellshock habe ich mich etwas auf die Suche begeben was genau dahinter steckt. Und das ist alles andere als lustig, denn das dürfte den ein oder anderen unbedarften User doch sehr wohl betreffen: https://www.trustedsec.com/september-2014/shellshock-dhcp-rce-proof-concept/

Allerdings habe ich an anderer Stelle gelesen, dass Mac OS X die Bash gar nicht für DHCP-Konfigurationen benutzt, sondern den Kernel (auf der Seite nach dem Beitrag von "somemacsysadmin" suchen): https://news.ycombinator.com/item?id=8369443

Kann das jemand bestätigen? Denn insofern wäre Mac OS X was Shellshock angeht über DHCP nicht angreifbar...

Gruß, Gaz
 
Um es kurz zu machen: Ihr seid alle doof!
Falk, weil er gleich patzig wird, Zeitlos weil er planlos postet ;)

Satire angekommen?

Ja, eine solche Schlagzeile wie die zum thread gehört eigentlich zu "spon" oder "bild", aber wie soll man etwas knackig beschreiben, wenn geschätzte 98% der Leser keine Ahnung haben (= keine derart tiefgehende Ahnung von Unix!)
Halten wir die Fakten fest:
Es ist durchaus möglich unerlaubt shellscripte auszuführen, weil die zugrunde liegende Unix Software diesen Fehler vor 25 Jahren nicht erkannte - allerdings war dieses Problem damals auch nicht ein sehr dringliches, wogegen heute schon Zahnbürsten "telefonieren" (die Bedeutung dieses Fehler steigt mit der Zahl der Befehlsempfänger, vor allem jener deren Software nicht updated wird!)

Die Möglichkeiten diese Lücke zu nutzen ist vorhanden, aber nicht in vielen Fällen wahrscheinlich, es gibt zu viele Variable die passen müssen.

Apple gehört nicht zu den Schnellsten wenn es darum geht Fehler / Lücken zu beheben, insofern ist ein wenig "Panikmache" sicher hilfreich in Cupertino den Druck zu erhöhen ;). Zudem müssen sie sich derzeit auch mit "Problemen" wie einem verbiegbaren Telefon herumschlagen (sind eigentlich alle gaga?). Schwerer wiegen da Eigentore wie nicht funktionierende Software (IOS 8 und IOS 8.01), die eigentlich Probleme lösen und nicht erzeugen / verschlimmern sollen…

Ein Gutes kann ich diesem "Sicherheits-Hype" aber doch abgewinnen: so langsam wächst die Einsicht, dass es keine absolute Sicherheit gibt, dass man sich gefälligst auch ein wenig selbst bequemt, dass man mit seinen Daten wie mit Bargeld umgehen sollte, dass die Komplexität unserer Systeme die Probleme eher logarithmisch steigern als lösen werden. (Ich habe einem Nachbarn, der seine wLan-WebCam immer wieder unerlaubt über Grundstücksgrenzen linsen ließ, die Kamera wiederholt abgeschaltet, er fragt sich wohl immer noch was da passiert ist. Manchmal sind Lücken in der Software, vor allem in den Sicherheitseinstellungen echt nützlich ;) Anzeige wäre schwierig, weil die Kamera nicht dauerhaft installiert und zudem getarnt ist, auch bin ich nicht das Ziel… Als Technik-Laie und gleichzeitigem Technik-Fan wäre bei ihm sicher so mancher "wLan-Spaß" möglich, kann vielleicht noch mal nützlich sein…)
 
  • Gefällt mir
Reaktionen: LukeStylewalker
Lor-Olli schrieb:
Es ist durchaus möglich unerlaubt shellscripte auszuführen, weil die zugrunde liegende Unix Software diesen Fehler vor 25 Jahren nicht erkannte
Zum Vergrößern anklicken....
Sofern du niemanden an deinen Rechner lässt und keinen Webserver betreibst und keinen SSH Remotezugriff aktiviert hast, ist es nicht möglich. ;)

Lor-Olli schrieb:
es gibt zu viele Variable die passen müssen.
Zum Vergrößern anklicken....
Eigentlich nicht. Siehe oben.

Lor-Olli schrieb:
Apple gehört nicht zu den Schnellsten wenn es darum geht Fehler / Lücken zu beheben
Zum Vergrößern anklicken....
Deshalb macht man es am besten selbst, sofern man einen Webserver betreibt.

http://apple.stackexchange.com/ques...hellshock-the-remote-exploit-cve-2014-6271-an

Dauert mit installiertem Xcode keine 5 Minuten.
 
  • Gefällt mir
Reaktionen: Lor-Olli
Gaz schrieb:
Kann das jemand bestätigen? Denn insofern wäre Mac OS X was Shellshock angeht über DHCP nicht angreifbar...
Zum Vergrößern anklicken....

Das kannst du ganz leicht selbst rausfinden:
WiFi deaktivieren und folgendes aufrufen
Code: 
sudo dtrace -n 'proc:::exec-success/basename(execname)=="bash"/{printf("%d executed %s\n", ppid, execname);}'
anschliessend WiFi (das selbstverständlich via DHCP konfiguriert werden muss) wieder aktivieren.

Falls, nach erfolgreicher WiFi-Verbindung und Erhalt einer IP, eine Zeile auftaucht, wie unten rot markiert:
Code: 
dtrace: description 'proc:::exec-success' matched 2 probes
CPU     ID                    FUNCTION:NAME
[COLOR=#ff0000]  1  19569        __mac_execve:exec-success 53816 executed bash
[/COLOR]
wäre dein Rechner, bei angreifbarer Bash, gefährdet.

Zur »Wording«-Diskussion -> :faint: , weil der Begriff shellshock ganz einfach für den bug steht, wie heartbleed.
Und SPON ist eine Kasperzeitschrift, kaum noch von BILD unterscheidbar.

Ergänzung: SSH Remotezugriff heisst auf Macs »Entfernte Anmeldung«.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: FelixMacintosh
Ich habe es gerade im Netzwerk mit Cisco Phones und Apple Rechnern getestet. Also dem DHCP-Server entsprechende Optionen unter geschoben. Nein, es gibt kein Problem. Das Problem mit DHCP scheint nur zu existieren, wenn man entsprechende Client-Hooks eingerichtet hat. Da dies kein Standard-Nutzer hat, ist es auch kein Problem.
 
WTF, läuft auf Cisco Phones 'ne bash?
-
Ändert doch den Threadtitel einfach in "shellshock - was tun?".
 
@saugkraft
Das Problem welches ich ansprach war ein anderes ;)

Die Anmerkungen von Dir (#46) haben aber ihre Berechtigung, sie waren mir schon bewusst, wie vielen Leser der einschlägigen "Computermagazine" (Bild, Spon, Tageszeitungen etc.) auch?

Wir haben es mit, meiner Meinung nach, einer sich verstärkt differenzierenden Klassengesellschaft zu tun. Als ich mit dem Computer anfing, gab es noch nicht einmal einen C64 und alle die zur Materie etwas zu sagen hatten waren gebildet (computertechnisch). Dann kamen die ersten bezahlbaren Kleinrechner (C64, Apple, Atari etc. sowie erste Bürorechner), die, die sich damit beschäftigten kannten sich auch noch ganz gut aus. Dann kam der Masseneinzug der Rechner in die Arbeitswelt und immer mehr "totale Laien" wurden an die Maschinen gesetzt - Aufgabe "Tastendrücken", die Leute kannten zumindest ihre Anwendungsprogramme…

Die letzte Stufe der "elektronischen Verblödung" hielt dann mit den netzfähigen Mobiltelefonen Einzug - die Leute können oft kaum noch richtiges Deutsch (sie wollen nicht nur nicht, sie KÖNNEN es wirklich nicht mehr, von technischen Details ganz zu schweigen, lol…). Hier wird nur noch "geklickt" und geschrien, alternativ "gepanikt" wenn etwas nicht geht. Wie soll man den Menschen dieser "Nutzerklasse" irgendwelche Details vermittlen OHNE in Schocktitel zu verfallen? Aufklärung? Hah…

Ein Dilemma und Firmen wie Apple orientieren sich an den Massen (kein Wunder bei den Stückzahlen…), es tut sich erst etwas, wenn die Masse schreit (siehe Snowdon), ob man tatsächlich etwas ändert, oder nur Beruhigungspillen verteilt, wäre eine andere Frage.
 
Die Cisco IP Phones sind dumme Java-Geräte. Ich glaube da läuft als Basis auch eine Linux/IOS Variante. Ob da konkret BASH läuft, weiß ich nicht.
 
Lor-Olli schrieb:
Um es kurz zu machen: Ihr seid alle doof!
(Ich habe einem Nachbarn, der seine wLan-WebCam immer wieder unerlaubt über Grundstücksgrenzen linsen ließ, die Kamera wiederholt abgeschaltet, er fragt sich wohl immer noch was da passiert ist. Manchmal sind Lücken in der Software, vor allem in den Sicherheitseinstellungen echt nützlich ;) Anzeige wäre schwierig, weil die Kamera nicht dauerhaft installiert und zudem getarnt ist, auch bin ich nicht das Ziel… Als Technik-Laie und gleichzeitigem Technik-Fan wäre bei ihm sicher so mancher "wLan-Spaß" möglich, kann vielleicht noch mal nützlich sein…)
Zum Vergrößern anklicken....



:rotfl::rotfl: made my day
 
bikkuri schrieb:
In den ueber neun Jahren Mitgliedschaft hier ist dir noch nie aufgefallen, dass falkgottschalk in fast jedem zweiten Beitrag andere User wegen ihrer ach-so-dummen Posts herabwuerdigt und verunglimpft?
Zum Vergrößern anklicken....

Ach ja? Dann zeige mir bitte mal die mindestens 10.000 Beispiele, die Du ja nach Deiner eigenen Aussage allesamt im Kopf haben musst.
 
Olivetti schrieb:
Falls, nach erfolgreicher WiFi-Verbindung und Erhalt einer IP, eine Zeile auftaucht, wie unten rot markiert:
Code: 
dtrace: description 'proc:::exec-success' matched 2 probes
CPU     ID                    FUNCTION:NAME
[COLOR=#ff0000]  1  19569        __mac_execve:exec-success 53816 executed bash[/COLOR]
wäre dein Rechner, bei angreifbarer Bash, gefährdet.
Zum Vergrößern anklicken....
Habe es gerade ausprobiert und bei meinem Macbook unter 10.9.5 taucht keine Zeile mit "executed bash" auf.
Danke für den Tip!
Gruß, Gaz.
 
Lor-Olli schrieb:
fq
Zum Vergrößern anklicken....
Da stimme ich dir absolut zu. Und ja.. nachher heult wieder einer, weil er es ohne Holzhammer nicht schnallt.

Umso wichtiger finde ich es aber andererseits auch, da etwas gelassen und fachlich ranzugehen. Ich hab mich über den Threadtitel auch gar nicht besonders aufgeregt. Das überlasse ich Falk und seinem Blutdruck. :hehehe:

Ich verstehe es aber insofern, dass wir den Hype ja nun nicht unbedingt mitmachen müssen, alles gigamäßig aufzupumpen. Passiert so oder so, die Zeiten und die User ändern sich. Früher (tm) war alles besser und hier sowieso.

Bei aller Gelassenheit dieser Entwicklung gegenüber finde ich es aber bedauerlich, dass der Trend dahin geht, dass x Threads zu Thema xy parallel eröffnet werden (im Stil: ich schreie einfach ungefiltert raus, was mir grad durch den Kopf geht), dass die Bar immer mal wieder der erste Anlaufpunkt für Fachfragen ist, weil User zu faul sind, sich das passende Forum zu suchen und dass es (gefühlt) eine steigende Anzahl von Usern gibt, die zwar keine Ahnung haben, aber auf Teufel komm raus recht behalten wollen und sich zu fein sind, auch mal zuzugeben, dass sie nicht den Überblick oder sich geirrt haben.

Da denkt man sich öfter mal :rolleyes: Warum nicht ein bisschen mehr Sinn für die Frage, wie andere User diese Meldung lesen?

Dem TE mache ich jetzt keinen Vorwurf. Falk ihm sicher auch nicht. Zumindest nicht so wie es vielleicht angekommen ist. Es ist einfach dieses Gefühl wenn du sowas liest, dass du dir denkst: Och nö, nicht schon wieder so eine Sensationsmeldung aus der Computer-Bild. Das geht einem auf den Sack. Mir auch.

Ja, es gibt die elektronische Verblödung und der Umgang mit Privatsphäre ist bedenklich. Ich glaube aber einfach nicht, dass man da mitmachen muss.

Um es simpel zu sagen: Jede Sicherheitslücke ist gefährlich und kritisch wenn sie einen tasächlich betrifft. Der nächste Gedanke, den ich habe, ist nicht die Frage wie gefährlich, sondern ob ich betroffen bin und ob sich dagegen was unternehmen lässt. Es ist wumpe, ob 100.000 Hacker deine Passwörter knacken wollen oder ob es nur einer ist und der Erfolg hat, so dass deine Nacktbilder als Fappening in die Geschichte eingehen.

Man muss nicht aus jeder Sicherheitslücke ein Politikum machen. Apple macht Fehler, andere auch. Wir werden immer sorgloser, angreifbarer und unsere Privatsphäre ist keine mehr. Das muss man nicht jedem immer wieder einhämmern. Du kannst Sensibilität für solche gesellschaftlich-/technischen Fragen niemandem aufzwingen. Auch nicht wenn jemand noch lauter schreit. Guck dir doch die Reaktionen auf The Fappening an. Geil, Nacktbilder. :thumbsup: Dass es hochnotpeinlich ist, wenn der eigene Piephahn mal per Mail bei der Chefin landet, interessiert keinen.

Deshalb bin ich für Aufklärung, nicht dafür, dass eine Überschrift die andere toppt. ;)
 
Saugkraft schrieb:
Bei aller Gelassenheit dieser Entwicklung gegenüber finde ich es aber bedauerlich, dass der Trend dahin geht, dass x Threads zu Thema xy parallel eröffnet werden (im Stil: ich schreie einfach ungefiltert raus, was mir grad durch den Kopf geht), dass die Bar immer mal wieder der erste Anlaufpunkt für Fachfragen ist
Zum Vergrößern anklicken....

Da ist MacUser aber auch selbst schuld, mit seiner totalen Zersplittertheit in hundert "Fachforen", die sicher nicht nur mir - um Falks Worte aufzugreifen - gehörig auf den Sack geht. Da muß man sich nicht wundern, daß Leute nicht in allen Fachforen unterwegs sind, sondern im meistbesuchten Teilforum posten, das halbwegs passt. Warum sollte ich in ein Forum posten, das vielleicht noch etwas detaillierter passt, wo sich aber pro Tag nur drei Hanseln herumtreiben? Schau dir doch die Unterforen an. Da gibt es welche, wo vor zwei-drei Wochen das letzte Mal etwas gepostet wurde. Da kann ich meine Frage auch auf ein Blatt Papier schreiben, und im Wald an einen Baum pinnen. Was mich mindestens so nervt sind dann noch die zwei der drei Hanseln, die meinen einen blöd von der Seite anmachen zu müssen, wenn man etwas postet das ihnen nicht in den Kram passt und eventuell ihre Kreise stört.
Wenn man die Foren vernünftig zusammenfassen würde, wäre jedem geholfen. Den Mods, weil sie sich dann nicht über den dritten Parallel-Post zum gleichen Thema in verschiedenen Foren aufregen müssten, und dem User sowieso, wenn er leichter "sieht" was Sache ist.


Saugkraft schrieb:
Guck dir doch die Reaktionen auf The Fappening an. Geil, Nacktbilder. :thumbsup: Dass es hochnotpeinlich ist, wenn der eigene Piephahn mal per Mail bei der Chefin landet, interessiert keinen.

Deshalb bin ich für Aufklärung, nicht dafür, dass eine Überschrift die andere toppt. ;)
Zum Vergrößern anklicken....

Ja, und auch deswegen müssen manche Themen in ein übergeordnetes Forum. Glaubst du zum Beispiel, daß viele Leute etwas zu "shellshock" lesen würden, wenn es im Unterforum "Sicherheit" verborgen ist?
 
walfrieda schrieb:
Ja, und auch deswegen müssen manche Themen in ein übergeordnetes Forum. Glaubst du zum Beispiel, daß viele Leute etwas zu "shellshock" lesen würden, wenn es im Unterforum "Sicherheit" verborgen ist?
Zum Vergrößern anklicken....
Für "übergeordnet" haben wir ja mittlerweile die Tech-Bar. Aber so wie die Frage formuliert ist, war der Thread ja IMHO keine Diskussionsgrundlage, sondern tatsächlich eine technische Frage.

Was die Fachforen angeht.. Nuja.. Es sind sehr viele. Das ist richtig. Trotzdem finde ich eine Frage zum Thema OS X Server im entsprechenden Unterforum besser aufgehoben als in einem übergeordneten Forum, weil wir hier eben auch viele wirklich kompetente User haben, die gezielt in den Fachforen unterwegs sind.

Dass man das Forum besser gliedern kann, steht außer Frage. Das geht immer.

Aber jeder wird da auch irgendwann betriebsblind, weil er es auswendig kennt. Ich hab kein Problem, das richtige Forum zu finden. Ein neuer User vielleicht schon.

Also würde ich nicht sagen "selbst schuld". Vielleicht fehlt auch ein Stück weit ein gezieltes Feedback wie es komfortabler wäre. Mir fallen da gefühlte 10 Ansätze ein. Vielleicht für jeden Bereich eine "Stöberecke" oder besser ausgedrückt ein eigenes Portal. Hast du nur ein iPhone, treibst du dich vielleicht im iPhone Portal rum. Denkbar, aber letztlich auch nur ein Ansatz und verkompliziert es wieder für andere.

Ich denke, dass die Chefetage für jeden Hinweis dankbar ist, wie das Forum übersichtlicher für die User wird. :)

Worauf ich hinaus wollte, war aber was anderes. Ab und zu mal was aus der Bar verschieben, bringt mich nicht um. ;) Ich habe eher das Gefühl, dass viel zu oft gar kein tieferes Interesse an der Community oder am Thema besteht und nur abgerufen wird. Finde ich persönlich etwas schade.

Da kann ich mich aber auch irren. Man pickt sich ja gerne mal nur die negativen Dinge raus.
 
falkgottschalk schrieb:
Ach ja? Dann zeige mir bitte mal die mindestens 10.000 Beispiele, die Du ja nach Deiner eigenen Aussage allesamt im Kopf haben musst.
Zum Vergrößern anklicken....

Du warst wirklich mal flauschiger.
Und zum Topic: wie fixt man das nun auf PPC-Macs?
 
@Saugkraft
Wie es in Feedback oft aussieht, weisst du sicher selbst am Besten.

Oh', was Neues. Toll, macht alle mit und gebt Rückmeldung und macht Vorschläge, spätestens auf Seite 3 kommen
nur noch Wiederholungen und am Schluss waren die K.O.-Tropfen schuld, wenn alles einschläft und keiner mehr
durchblickt. Sinnvolle Vorschläge gab's hier schon Zuhauf, nur fehlt doch die halbwegs professionelle Aufnahme und Abwicklung.
-
@Sol
Wenn es nur darum geht, den Rechner zu fixen und man die bash nicht wirklich braucht,
dann würde ich die Standardshell auf zsh umstellen und /bin/bash und /bin/sh stilllegen (äh 3l?).
Ansonsten bleibt nur selber kompilieren und da hängt die Komplexität auch von deiner OS Version ab.
 
Olivetti schrieb:
Wie es in Feedback oft aussieht, weisst du sicher selbst am Besten.

Oh', was Neues. Toll, macht alle mit und gebt Rückmeldung und macht Vorschläge, spätestens auf Seite 3 kommen
nur noch Wiederholungen und am Schluss waren die K.O.-Tropfen schuld, wenn alles einschläft und keiner mehr
durchblickt. Sinnvolle Vorschläge gab's hier schon Zuhauf, nur fehlt meistens die halbwegs professionelle Abwicklung.
Zum Vergrößern anklicken....

Das ist jetzt auch nicht wirklich konstruktiv, findest du nicht?
Also, wie wird man die Sicherheitslücke auf älteren Systemen los?

Edit: Ah, du beziehst dich auf Saugkraft, dann ergibt sich doch gleich ein anderer Kontext.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten