Shellshock Patch für ältere Debian- oder ubuntu-Systeme

Der „Shellshock“ kursiert seit Mittwoch durch Deutschland und die Welt. Dabei handelt es sich um eine kritische Sicherheitslücke in Unix-Systemen (Linux und Apples Mac-Betriebssystem OS X), die noch größer ist, als der Heartbleed vor einigen Monaten.

Im Folgenden möchte ich auf eine Patch-Möglichkeit für ältere Debian-Systeme hinweisen (diese habe ich hier gefunden; für ubuntu gibt es eine ähnliche Anleitung).

Für OS X gibt es zum aktuellen Zeitpunkt noch keinen Patch. Update 30.09.2014, 10:45 Uhr »

Direkt zum Update vom 26.09.2014, 17:25 Uhr »

Direkt zum Update vom 29.09.2014, 23:35 Uhr »

Direkt zum Update vom 30.09.2014, 10:45 Uhr »

Für aktuelle (Linux-)Systeme sollte der Patch über apt-get update && apt-get upgrade verfügbar sein.

Für ältere Systeme (in meinem Beispiel Debian Squeeze) gibt es unter Umständen die Möglichkeit der sources.list entsprechende LTS-Repositories hinzuzufügen, um von diesen dann nur die betroffene Bash zu aktualisieren.

Vorbereitungen

sources.list öffnen:

nano /etc/apt/sources.list

und ergänzen:

deb	http://http.debian.net/debian squeeze-lts main contrib non-free
deb-src	http://http.debian.net/debian squeeze-lts main contrib non-free

Upgrade der Bash

apt-get update && apt-get install -t squeeze-lts --only-upgrade bash

Überprüfen

Anschließend kann man zum Beispiel mit dem folgenden Befehl überprüfen, ob der Patch erfolgreich war:

env X='() { (a)=>' bash -c 'echo date'

Wurde im aktuellen Verzeichnis eine Datei echo erstellt, die das aktuelle Datum enthält, war der Patch nicht erfolgreich und es wird eine Bash verwendet, die immer noch betroffen ist.

Wenn keine Datei echo erstellt wurde, war der Patch erfolgreich.

Es kann sein, dass es aber in den nächsten Tagen weitere Upgrades der Bash geben wird, wie es auch beim Heartbleed schon der Fall war, da durch das erhöhte Interesse weitere Lücken gefunden werden könnten.

Update vom 26.09.2014, 17:25 Uhr: Workaround für OS X

Bei der Recherche zur Behebung der Lücke unter OS X bin ich auf folgende Seite gestoßen: „How to patch OS X for the bash/Shellshock vulnerability“.
Auf GitHub findet man das dazugehörige Skript: bash-fix.

An dieser Stelle noch einmal der Hinweis, dass Apple selber an einem Fix arbeitet. Wer aber OS X Webserver betreibt sollte lieber früher als später reagieren.

Alle Anleitungen natürlich ohne Gewähr.
Was bei dem einen problemlos funktioniert, kann auf einem anderen System trotzdem Fehler verursachen. Bei unsachgemäßer Anwendung können bleibende Schäden am System nicht ausgeschlossen werden.

Update vom 29.09.2014, 23:35 Uhr: weitere Lücken

Unter Shellshocker findet man Test-Befehle, die man in der Bash eingeben kann, um zu überprüfen, ob das eigene System von den aktuell fünf gepatchten Lücken betroffen ist bzw. bereinigt wurde.

Update vom 30.09.2014, 10:45 Uhr: weitere Lücken

OS X Bash Update 1.0 ist nun verfügbar. Es muss direkt bei Apple heruntergeladen und manuell installiert werden (die jeweils aktuellste (Mac) OS X Version muss installiert sein: OS X 10.9.5, 10.8.5 oder 10.7.5):

Julian Rademacher („moortaube“)

Hinter „moortaube“ verbirgt sich der Berliner Blogger Julian Rademacher, der hier gerne über technische Dinge berichtet.

moortaube
moortaube


Veröffentlicht am