• IT-Karriere:
  • Services:

Shellshock: Alle Bash-Lücken gepatcht

Die jüngsten Patches für Bash beheben jetzt alle Lücken im Funktionsparser, die zu Shellshock und diversen Varianten geführt haben. Sicherheitskritisch sind die letzten Updates jedoch nicht mehr.

Artikel veröffentlicht am , Hanno Böck
Alle sechs Fehler im Bash-Funktionsparser wurden behoben.
Alle sechs Fehler im Bash-Funktionsparser wurden behoben. (Bild: Screenshot)

Der Bash-Entwickler Chet Ramey hat neue Versionen herausgegeben, die nun sämtliche Fehler beheben, die im Zusammenhang mit Shellshock bekannt geworden sind. Für Bash 4.3 steht das Patchlevel 030 bereit, für Bash 4.2 das Patchlevel 053. Auch für diverse ältere Bash-Versionen stehen Updates bereit.

Stellenmarkt
  1. Dr. August Oetker Nahrungsmittel KG, Bielefeld
  2. Allianz Private Krankenversicherungs-AG, München Unterföhring

Nach dem Bekanntwerden der Bash-Sicherheitlsücke Shellshock war schnell klar, dass der ursprüngliche Patch nicht alle Fehler beheben würde. Inzwischen sind insgesamt sechs Sicherheitslücken im Parser von Bash aufgetaucht. Besonders die letzte von Michal Zalewski entdeckte Lücke sorgte für Aufsehen, denn sie lässt sich genauso leicht wie die ursprüngliche Shellshock-Lücke ausnutzen.

Sicherheitskritisch sind die jüngsten Patches nicht mehr. Nachdem klar wurde, dass der Funktionsparser von Bash mehrere Probleme hat, wurde von Redhat-Entwickler Florian Weimer ein Patch erstellt, der den Import von Funktionen nur noch mit einem festen Pre- und Suffix erlaubt. Dieser Patch oder Varianten davon wurden inzwischen von fast allen Linux-Distributionen und von OS X übernommen. Auch die offiziellen Bash-Releases enthalten eine Variante dieses Patches.

Ursprünglich konnte man in Bash Funktionen einfach importieren, indem man eine beliebige Variable mit der Definition der Funktion füllte. Das sah beispielsweise so aus:

env x="() { echo test;}" bash -c x

Mit einer neuen Bash-Version ist das nicht mehr möglich, die Funktionsvariable muss mit BASH_FUNC_ beginnen und mit %% enden:

env "BASH_FUNC_x%%"="() { echo test; }" bash -c x

Durch diese Prefix-Variante sind die Lücken im Funktionsparser nur noch als gewöhnliche, harmlose Bugs anzusehen, von denen kein Sicherheitsrisiko ausgeht. Behoben wurden sie nun trotzdem alle.

Vom Autor dieses Artikels wurde ein Testscript namens bashcheck erstellt, welches Bash auf alle sechs bekannten Lücken testet. Das Skript überprüft auch, ob der wichtige Prefix/Suffix-Patch installiert ist.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Mobile-Angebote
  1. 159,99€ (mit Rabattcode "POWERFRIDAY20" - Bestpreis!)
  2. 699€ (mit Rabattcode "POWERFRIDAY20" - Bestpreis!)
  3. (u. a. Apple iPhone 11 Pro Max 256GB 6,5 Zoll Super Retina XDR OLED für 929,98€)

niabot 06. Okt 2014

Der Angreifer kann sich den Variablennamen nicht frei aussuchen. Diese Variablen werden...

friendlybaker 06. Okt 2014

unbekannte lücken zu patchen ist auch nicht gerade einfach


Folgen Sie uns
       


Radeon RX 6800 (XT) im Test mit Benchmarks

Lange hatte AMD bei Highend-Grafikkarten nichts zu melden, mit den Radeon RX 6800 (XT) kehrt die Gaming-Konkurrenz zurück.

Radeon RX 6800 (XT) im Test mit Benchmarks Video aufrufen
Astronomie: Arecibo wird abgerissen
Astronomie
Arecibo wird abgerissen

Das weltberühmte Radioteleskop ist nicht mehr zu retten. Reparaturarbeiten wären lebensgefährlich.

  1. Astronomie Zweites Kabel von Arecibo-Radioteleskop kaputt
  2. Die Zukunft des Universums Wie alles endet
  3. Astronomie Gibt es Leben auf der Venus?

Demon's Souls im Test: Düsternis auf Basis von 10,5 Tflops
Demon's Souls im Test
Düsternis auf Basis von 10,5 Tflops

Das Remake von Demon's Souls ist das einzige PS5-Spiel von Sony, das nicht für die PS4 erscheint - und ein toller Einstieg in die Serie!
Von Peter Steinlechner


    In eigener Sache: Golem-PCs mit Ryzen 5000 und Radeon RX 6800
    In eigener Sache
    Golem-PCs mit Ryzen 5000 und Radeon RX 6800

    Mehr Leistung zum gleichen Preis: Der Golem Highend wurde mit dem Ryzen 5 5600X ausgestattet, die Geforce RTX 3070 kann optional durch eine günstigere und schnellere Radeon RX 6800 ersetzt werden.

    1. Video-Coaching für IT-Profis Shifoo geht in die offene Beta
    2. In eigener Sache Golem-PCs mit RTX 3070 günstiger und schneller
    3. In eigener Sache Die konfigurierbaren Golem-PCs sind da

      •  /