Anzeige
Alle sechs Fehler im Bash-Funktionsparser wurden behoben.
Alle sechs Fehler im Bash-Funktionsparser wurden behoben. (Bild: Screenshot)

Shellshock: Alle Bash-Lücken gepatcht

Die jüngsten Patches für Bash beheben jetzt alle Lücken im Funktionsparser, die zu Shellshock und diversen Varianten geführt haben. Sicherheitskritisch sind die letzten Updates jedoch nicht mehr.

Anzeige

Der Bash-Entwickler Chet Ramey hat neue Versionen herausgegeben, die nun sämtliche Fehler beheben, die im Zusammenhang mit Shellshock bekannt geworden sind. Für Bash 4.3 steht das Patchlevel 030 bereit, für Bash 4.2 das Patchlevel 053. Auch für diverse ältere Bash-Versionen stehen Updates bereit.

Nach dem Bekanntwerden der Bash-Sicherheitlsücke Shellshock war schnell klar, dass der ursprüngliche Patch nicht alle Fehler beheben würde. Inzwischen sind insgesamt sechs Sicherheitslücken im Parser von Bash aufgetaucht. Besonders die letzte von Michal Zalewski entdeckte Lücke sorgte für Aufsehen, denn sie lässt sich genauso leicht wie die ursprüngliche Shellshock-Lücke ausnutzen.

Sicherheitskritisch sind die jüngsten Patches nicht mehr. Nachdem klar wurde, dass der Funktionsparser von Bash mehrere Probleme hat, wurde von Redhat-Entwickler Florian Weimer ein Patch erstellt, der den Import von Funktionen nur noch mit einem festen Pre- und Suffix erlaubt. Dieser Patch oder Varianten davon wurden inzwischen von fast allen Linux-Distributionen und von OS X übernommen. Auch die offiziellen Bash-Releases enthalten eine Variante dieses Patches.

Ursprünglich konnte man in Bash Funktionen einfach importieren, indem man eine beliebige Variable mit der Definition der Funktion füllte. Das sah beispielsweise so aus:

env x="() { echo test;}" bash -c x

Mit einer neuen Bash-Version ist das nicht mehr möglich, die Funktionsvariable muss mit BASH_FUNC_ beginnen und mit %% enden:

env "BASH_FUNC_x%%"="() { echo test; }" bash -c x

Durch diese Prefix-Variante sind die Lücken im Funktionsparser nur noch als gewöhnliche, harmlose Bugs anzusehen, von denen kein Sicherheitsrisiko ausgeht. Behoben wurden sie nun trotzdem alle.

Vom Autor dieses Artikels wurde ein Testscript namens bashcheck erstellt, welches Bash auf alle sechs bekannten Lücken testet. Das Skript überprüft auch, ob der wichtige Prefix/Suffix-Patch installiert ist.


eye home zur Startseite
niabot 06. Okt 2014

Der Angreifer kann sich den Variablennamen nicht frei aussuchen. Diese Variablen werden...

friendlybaker 06. Okt 2014

unbekannte lücken zu patchen ist auch nicht gerade einfach

Kommentieren



Anzeige

  1. Senior Consultant WWS (m/w)
    ADVARIS Informationssysteme GmbH, Bruchsal
  2. Mitarbeiterin / Mitarbeiter für Anforderungsmanagement und IT-Verfahren
    Deutsche Bundesbank, Frankfurt am Main
  3. Berater für Organisations- und Geschäftsprozessentwick- lung (m/w)
    IT-Dienstleistungszentrum Berlin, Berlin
  4. Senior Project Manager - Healthcare (m/w)
    Fresenius Netcare GmbH, Bad Homburg

Detailsuche



Anzeige
Spiele-Angebote
  1. VORBESTELLBAR: Gran Turismo Sport - Steel Book Edition [PlayStation 4]
    79,99€ (Vorbesteller-Preisgarantie)
  2. VORBESTELLBAR: DEUS EX: MANKIND DIVIDED - Collector's Edition (PC/PS4/Xbox One)
    119,00€/129,00€ (Vorbesteller-Preisgarantie)
  3. Battleborn stark reduziert
    ab 29,97€

Weitere Angebote


Folgen Sie uns
       


  1. Internetwirtschaft

    Das ist so was von 2006

  2. NVM Express und U.2

    Supermicro gibt SATA- und SAS-SSDs bald auf

  3. 100 MBit/s

    Telekom bringt 10.000 Haushalten in Großstadt Vectoring

  4. Zum Weltnichtrauchertag

    BSI warnt vor Malware in E-Zigaretten

  5. Analoges Radio

    UKW-Sendeanlage bei laufendem Betrieb umgezogen

  6. Kernel

    Linux 4.7-rc1 unterstützt AMDs Polaris

  7. Fehler in Blogsystem

    200.000 Zugangsdaten von SZ-Magazin kopiert

  8. Aufräumen von Prozessen beim Logout

    Systemd-Neuerung sorgt für Nutzerkontroversen

  9. Overwatch im Test

    Superhelden ohne Sammelsucht

  10. Mobilfunk

    Wirtschaftssenatorin will 5G-Testbed in Berlin durchsetzen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Traceroute: Wann ist ein Nerd ein Nerd?
Traceroute
Wann ist ein Nerd ein Nerd?

Formel E: Monaco-Feeling beim E-Prix in Berlin-Mitte
Formel E
Monaco-Feeling beim E-Prix in Berlin-Mitte
  1. Hewlett Packard Enterprise "IT wird beim Autorennen immer wichtiger"
  2. Roborace Roboterrennwagen fahren mit Nvidia-Computer
  3. Elektromobilität BMW und Nissan wollen in die Formel E

Moto G4 Plus im Hands on: Lenovos sonderbare Entscheidung
Moto G4 Plus im Hands on
Lenovos sonderbare Entscheidung
  1. Lenovo Moto G4 kann doch mit mehr Speicher bestellt werden
  2. Android-Smartphone Lenovos neues Moto G gibt es gleich zweimal
  3. Motorola Aktionspreise für aktuelle Moto-Smartphones

  1. SuperMicro sind schon super.

    grslbr | 01:59

  2. Re: Analog abschalten ist dumm

    ManMashine | 01:55

  3. Re: Was hat wenig Kalorien und hält lange satt?

    AnonymerHH | 01:47

  4. Re: Einfach nicht wählen.

    burzum | 01:47

  5. Re: Lobbyirrsinn.

    grslbr | 01:42


  1. 18:53

  2. 18:47

  3. 18:38

  4. 17:41

  5. 16:36

  6. 16:29

  7. 15:57

  8. 15:15


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel