WN
Sidan 1 av 2 1 2
Visa 40 inlägg från det här ämnet på en sida

WN (https://www.wn.se/forum/index.php)
-   Nyheter (https://www.wn.se/forum/forumdisplay.php?f=3)
-   -   Bash sårbarhet - CVE-2014-6271 (https://www.wn.se/forum/showthread.php?t=1062961)

captaindoe 2014-09-25 11:31
Bash sårbarhet - CVE-2014-6271
 
En sårbarhet som är värre än Heartbleed kom fram igår klockan 16:05.
Mer information här, här och här.

Rekommenderar er alla att snabbt uppdatera era servrar.
Bra information för att se om man är påverkad eller inte, samt hur man uppdaterar servrarna finner ni här.

jayzee 2014-09-25 14:02
Nu kräver detta att man har tillgång till bash, sannolikheten att man har shell access öppen bara sådär hos de flesta av oss är nog minimal. Men... vi håller alla våra servar up-to-date hela tiden :)

captaindoe 2014-09-25 14:25
Om man kör apache med mod_fastcgi är det väldigt stor risk att man är drabbad.

Genom att byta ut sin referrer, sätta en cookie eller liknande kan man då ta över en server. Mer information här.

Det är ett otroligt allvarligt problem, och min gissning är att väldigt många personer på WN är drabbade. Exempelvis är några av de stora webbhotellen i USA drabbade, och troligtvis en hel del av de svenska.

Beroende på vilket operativsystem det är man använder finns det ingen patch just nu, vilket gör att det inte hjälper att uppgradera. Då behöver man manuellt byta från bash till exempelvis dash eller /bin/sh.

jayzee 2014-09-25 14:35
Tur att man kör lighttpd och nginx :)

Jim_Westergren 2014-09-25 18:43
Tack för notisen. Detta är riktigt allvarligt!
Har nu patchat alla mina servrar.

För att se om du är vulnerable:
Citat:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
För att patcha:
Citat:
apt-get update
apt-get install --only-upgrade bash
Vid Debian squeeze kör in dessa sources: https://wiki.debian.org/LTS/Using och sedan ovan kommandon igen.

Får du följande svar på testet så är allt ok:

Citat:
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test

Clarence 2014-09-25 21:52
Fixen var inte helt OK, snart kommer alla OS repos ut med patchen för CVE-2014-7169. För ubuntu finns det en patchad bash proposed men jag tror den är temporär i väntan på final word från bashutvecklarna.

Citat:
NOTE: this vulnerability exists because of an incomplete fix for CVE-2014-6271.
http://web.nvd.nist.gov/view/vuln/de...=CVE-2014-7169

Jim_Westergren 2014-09-26 14:45
Det stämmer och det finns en ny patch som i alla fall Debian körde ut för ca 15 timmar sedan: https://news.ycombinator.com/item?id=8371360

Så det är bara att uppdatera Bash åter igen på alla servrar ...

lazat 2014-09-26 15:41
Citat:
Ursprungligen postat av Jim_Westergren (Inlägg 20499365)
Det stämmer och det finns en ny patch som i alla fall Debian körde ut för ca 15 timmar sedan: https://news.ycombinator.com/item?id=8371360

Så det är bara att uppdatera Bash åter igen på alla servrar ...

Japp, man börjar få rutin, Jag kommer att drömma om yum, sudo inatt :-)

epik 2014-09-27 09:59
Tur att man använder zsh :D

Nerix 2014-09-27 10:18
Citat:
Ursprungligen postat av epik (Inlägg 20499403)
Tur att man använder zsh :D
Synd är bara att bash fortfarande finns installerat på ditt system.


Alla tider är GMT +2. Klockan är nu 08:04.
Sidan 1 av 2 1 2
Visa 40 inlägg från det här ämnet på en sida

Programvara från: vBulletin® Version 3.8.2
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Svensk översättning av: Anders Pettersson