Viele Seiten sprechen vom Shellshock, aber nicht viele wie man diesen testet oder ordentlich testet.
Es gibt genau 2 Bugmeldungen, weil der erste Patch] nicht den eigentlichen Fehler behoben hat.
Der Fehler ist, dass in Umgebungsvariablen gespeicherter Code nicht von der bash überprüft wird.
Betroffen: sämtliche BSD-, Unix- und MacOS-systeme
Betroffene Bugmeldungen: CVE-2014-6271 und CVE-2014-7169
Test ob ihr von CVE-2014-6271 betroffen seid:
env var='() { ignore this;}; echo vulnerable' bash -c /bin/true
Gibt er hier "vulnerable" aus, seid ihr betroffen
Test ob ihr von CVE-2014-7169 betroffen seid (automatisch wenn CVE-2014-6271 möglich ist):
env X='() { (a)=>\' bash -c "echo date"; cat echo
Gibt er hier ein Datum und nicht "date" aus, seid ihr betroffen.
Sollte einer der beiden Fehler bei euch auftreten, solltet ihr schnellsmöglichst das System updaten oder die bash mit einer neueren Version ersetzen, da über Umgebungsvariablen Schadcode in das System eingführt wird.
Zum Selbstbeheben ist hier ein Patch zu finden: http://ftp.gnu.org/gnu/bash/bash-4.3-patches/bash43-025
Unter Debian, CentOS und Ubuntu gibt es bereits einen 2. Patch, Apple behauptet, das dessen Systeme nicht betroffen wurde. Über weitere Systeme liegen mir derzeit keine Informationen vor..
Quelle: http://www.bitpage.de/2014/sic…ke-fuer-das-internet-sein und http://www.reddit.com/r/netsec/
