[captaindoe]

En sårbarhet som är värre än Heartbleed kom fram igår klockan 16:05.
Mer information här, här och här.

Rekommenderar er alla att snabbt uppdatera era servrar.
Bra information för att se om man är påverkad eller inte, samt hur man uppdaterar servrarna finner ni här.

[jayzee]

Nu kräver detta att man har tillgång till bash, sannolikheten att man har shell access öppen bara sådär hos de flesta av oss är nog minimal. Men... vi håller alla våra servar up-to-date hela tiden

[captaindoe]

Om man kör apache med mod_fastcgi är det väldigt stor risk att man är drabbad.

Genom att byta ut sin referrer, sätta en cookie eller liknande kan man då ta över en server. Mer information här.

Det är ett otroligt allvarligt problem, och min gissning är att väldigt många personer på WN är drabbade. Exempelvis är några av de stora webbhotellen i USA drabbade, och troligtvis en hel del av de svenska.

Beroende på vilket operativsystem det är man använder finns det ingen patch just nu, vilket gör att det inte hjälper att uppgradera. Då behöver man manuellt byta från bash till exempelvis dash eller /bin/sh.

[jayzee]

Tur att man kör lighttpd och nginx

[Jim_Westergren]

Tack för notisen. Detta är riktigt allvarligt!
Har nu patchat alla mina servrar.

För att se om du är vulnerable:

Citat:

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

För att patcha:

Citat:

apt-get update
apt-get install --only-upgrade bash

Vid Debian squeeze kör in dessa sources: https://wiki.debian.org/LTS/Using och sedan ovan kommandon igen.

Får du följande svar på testet så är allt ok:

Citat:

bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test

[Clarence]

Fixen var inte helt OK, snart kommer alla OS repos ut med patchen för CVE-2014-7169. För ubuntu finns det en patchad bash proposed men jag tror den är temporär i väntan på final word från bashutvecklarna.

Citat:

NOTE: this vulnerability exists because of an incomplete fix for CVE-2014-6271.

http://web.nvd.nist.gov/view/vuln/de...=CVE-2014-7169

[Jim_Westergren]

Det stämmer och det finns en ny patch som i alla fall Debian körde ut för ca 15 timmar sedan: https://news.ycombinator.com/item?id=8371360

Så det är bara att uppdatera Bash åter igen på alla servrar ...

[lazat]

Citat:

Ursprungligen postat av Jim_Westergren

Det stämmer och det finns en ny patch som i alla fall Debian körde ut för ca 15 timmar sedan: https://news.ycombinator.com/item?id=8371360

Så det är bara att uppdatera Bash åter igen på alla servrar ...

Japp, man börjar få rutin, Jag kommer att drömma om yum, sudo inatt :-)

[epik]

Tur att man använder zsh

[Nerix]

Citat:

Ursprungligen postat av epik

Tur att man använder zsh

Synd är bara att bash fortfarande finns installerat på ditt system.