Bash sårbarhet - CVE-2014-6271
 

En sårbarhet som är värre än Heartbleed kom fram igår klockan 16:05.
Mer information här, här och här.

Rekommenderar er alla att snabbt uppdatera era servrar.
Bra information för att se om man är påverkad eller inte, samt hur man uppdaterar servrarna finner ni här.

Nu kräver detta att man har tillgång till bash, sannolikheten att man har shell access öppen bara sådär hos de flesta av oss är nog minimal. Men... vi håller alla våra servar up-to-date hela tiden :)

Om man kör apache med mod_fastcgi är det väldigt stor risk att man är drabbad.

Genom att byta ut sin referrer, sätta en cookie eller liknande kan man då ta över en server. Mer information här.

Det är ett otroligt allvarligt problem, och min gissning är att väldigt många personer på WN är drabbade. Exempelvis är några av de stora webbhotellen i USA drabbade, och troligtvis en hel del av de svenska.

Beroende på vilket operativsystem det är man använder finns det ingen patch just nu, vilket gör att det inte hjälper att uppgradera. Då behöver man manuellt byta från bash till exempelvis dash eller /bin/sh.

Tur att man kör lighttpd och nginx :)

Tack för notisen. Detta är riktigt allvarligt!
Har nu patchat alla mina servrar.

För att se om du är vulnerable:
För att patcha:
Vid Debian squeeze kör in dessa sources: https://wiki.debian.org/LTS/Using och sedan ovan kommandon igen.

Får du följande svar på testet så är allt ok:

Fixen var inte helt OK, snart kommer alla OS repos ut med patchen för CVE-2014-7169. För ubuntu finns det en patchad bash proposed men jag tror den är temporär i väntan på final word från bashutvecklarna.

http://web.nvd.nist.gov/view/vuln/de...=CVE-2014-7169

Det stämmer och det finns en ny patch som i alla fall Debian körde ut för ca 15 timmar sedan: https://news.ycombinator.com/item?id=8371360

Så det är bara att uppdatera Bash åter igen på alla servrar ...

Japp, man börjar få rutin, Jag kommer att drömma om yum, sudo inatt :-)

Tur att man använder zsh :D

Synd är bara att bash fortfarande finns installerat på ditt system.

Spelar ingen roll vilket shell du personligen använder. Gör en sökning på bash shebangs på ditt system så förstår du varför.

Jag är väldigt förvånad över hur pass lite publicitet Shell shock har fått. Shell shock är otroligt allvarligt, samtidigt som att det har varit mycket problem kring uppdateringarna. Känns som att det är det perfekta receptet för media.

Kan det vara så att det är för komplext för att folk ska förstå sårbarheten? Vad tror ni?

Jag tror det behövs något som knyter det mot hemanvändarna, jag tror det är många som inte tycker att det gäller dem.

Om det skulle visa sig att OSX är öppet för attack och att Apple vetat om det i flera månader utan att göra något åt det så blir det nog fart på medierna. Eller så är alla så upptagna av "bendgate" att det inte finns resurser att skriva om annat. :D

Däremot blev jag lite oroad nu när jag fick uppdatera bash för en tredje gång på en ubuntumaskin, är detta sista uppdateringen? Vad var problemet med de två tidigare?

Börjar kännas som debaklet som ProFTPd-utvecklarna hade för några år sedan då man släppte sju uppdateringar på en vecka eller vad det var..

Nu har Yahoo, Lycos & Winzip blivit hackade genom Shellshock.

Så vitt jag vet är OSX öppet för attack, det var i alla fall min dator innan jag uppdaterade den.