Onderwerp: Na bash update (wheezy), lek niet gedicht

Nadat bekend is geworden heb ik mijn systemen gecontroleerd. 1 daarvan (Raspberrypi) heeft de lek na de update gedicht.
Echter een vps server ook met debian wheezy niet:

~# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test

~# dpkg-query -s bash
Package: bash
Essential: yes
Status: install ok installed
Priority: required
Section: shells
Installed-Size: 3902
Maintainer: Matthias Klose <doko@debian.org>
Architecture: i386
Multi-Arch: foreign
Version: 4.2+dfsg-0.1
Replaces: bash-completion (<< 20060301-0), bash-doc (<= 2.05-1)
Depends: base-files (>= 2.1.12), debianutils (>= 2.15)
Pre-Depends: dash (>= 0.5.5.1-2.2), libc6 (>= 2.11), libtinfo5
Recommends: bash-completion (>= 20060301-0)
Suggests: bash-doc
Conflicts: bash-completion (<< 20060301-0)
Conffiles:
/etc/skel/.bashrc d5f897a5ec2b5f55b412004e7715977f
/etc/skel/.bash_logout 22bfb8c1dd94b5f3813a2b25da67463f
/etc/skel/.profile ecb6d3479ac3823f1da7f314d871989b
/etc/bash.bashrc 6334b485d48f479d8de056806b274cd3
Description: GNU Bourne Again SHell
…

Ook getest na een sys. reboot zonder resultaat.

Dit klopt, zie: https://bugs.debian.org/cgi-bin/bugr...cgi?bug=762760

Oorspronkelijk geplaatst door phreak

Dit klopt, zie: https://bugs.debian.org/cgi-bin/bugr...cgi?bug=762760

Hoe verklaar je dan dat bij server 1 een ander test resultaat krijg dan bij server 2?

server1:$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test

server2:$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test

Wat ik ervan gelezen heb is dat het probleem verholpen zou zijn i.h.g.v. server 1

Misschien die 2de bak vanaf een mirror geupdate die nog niet bijgewerkt was?

Oorspronkelijk geplaatst door systemdeveloper

Misschien die 2de bak vanaf een mirror geupdate die nog niet bijgewerkt was?

server1: ~# bash --version
GNU bash, version 4.2.37(1)-release (i486-pc-linux-gnu)

server1: ~# env x='() { :;}; echo vulnerable' bash -c "echo test"
vulnerable
test

server2: ~# bash --version
GNU bash, version 4.2.37(1)-release (arm-unknown-linux-gnueabihf)

server2: ~# env x='() { :;}; echo vulnerable' bash -c "echo test"
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
test

m.a.w. bash versie is hetzelfde / 4.2.37(1), maar het effect niet...

Let op dat die test alleen op de eerste fix werkt, de 2e security flaw gaat nog fout bij o.a. Redhat-gebaseerde systemen. Op https://access.redhat.com/articles/1200223 staat wat meer informatie over een tijdelijke fix.

Oorspronkelijk geplaatst door TotallyHosted

Let op dat die test alleen op de eerste fix werkt, de 2e security flaw gaat nog fout bij o.a. Redhat-gebaseerde systemen. Op https://access.redhat.com/articles/1200223 staat wat meer informatie over een tijdelijke fix.

yup, dat heb ik mee gekregen.
Maar ik vind het vreemd dat na de update, ik nog steed de "vulnerable version of Bash" als resultaat krijg.

https://security-tracker.debian.org/.../CVE-2014-6271

4.2+dfsg-0.1 is lek, 4.2+dfsg-0.1+deb7u1 is niet lek. Niet de juiste update erop staan dus.

Er is een nieuw CVE 7169 toegewezen omdat de patch niet voldoende is:
http://web.nvd.nist.gov/view/vuln/de...=CVE-2014-7169

Is in Debian 7 op dit moment net ook gepatcht, opnieuw updaten dus.

Mocht jij je iMac(Book) nog niet manueel gepatcht hebben en je wil niet wachten op de reguliere update manier. -> http://www.imore.com/apple-releases-...hellshock-macs

Oorspronkelijk geplaatst door Domenico

Mocht jij je iMac(Book) nog niet manueel gepatcht hebben en je wil niet wachten op de reguliere update manier. -> http://www.imore.com/apple-releases-...hellshock-macs

Waarom wachten? De updates zijn uit hoor.

Bash update voor:
OSX 10.9 http://support.apple.com/kb/DL1769
OSX 10.8 http://support.apple.com/kb/DL1768
OSX 10.7 http://support.apple.com/kb/DL1767
Bij mijn weten nog niet voor 10.10 en deze updates werden eerder vandaag ook nog niet aangeboden via de automatische update.

Oorspronkelijk geplaatst door wila

Waarom wachten? De updates zijn uit hoor.

Bash update voor:
OSX 10.9 http://support.apple.com/kb/DL1769
OSX 10.8 http://support.apple.com/kb/DL1768
OSX 10.7 http://support.apple.com/kb/DL1767
Bij mijn weten nog niet voor 10.10 en deze updates werden eerder vandaag ook nog niet aangeboden via de automatische update.

Dat is wat ik zei. Met regulier bedoelde ik de automatische update.

ah.. ik had niet op je link geklikt, dacht dat het een gids was voor zelf compileren. Minder denken, meer klikken dus.