image

Beveiligingsupdate Red Hat voor bash-lek incompleet

donderdag 25 september 2014, 10:20 door Redactie, 4 reacties

Een beveiligingsupdate die Red Hat voor het ernstige bash-lek uitbracht is niet compleet, zo hebben de ontwikkelaars laten weten. Gisteren werd bekend dat een lek in bash, dat in de meeste op Unix-gebaseerde besturingssystemen zoals Linux en Mac OS X aanwezig is, een aanvaller kwetsbare systemen in bepaalde gevallen laat overnemen.

Red Hat kwam hierop met een update, maar die blijkt het probleem niet helemaal te verhelpen. "Een aanvaller kan speciaal geprepareerde omgevingsvariabelen met willekeurige commando's opgeven die in bepaalde omstandigheden op kwetsbare systemen worden uitgevoerd", aldus Red Hat. Het nieuwe probleem heeft ook een nieuw CVE-nummer gekregen, te weten CVE-2014-7169. Het oorspronkelijke bash-lek staat bekend als CVE-2014-6271. Red Hat werkt nu aan een nieuwe update. In de tussentijd is er een 'workaround' gepubliceerd.

Reacties (4)
25-09-2014, 11:21 door Anoniem
Don't bash Bash, when it's down ;)
25-09-2014, 11:56 door Anoniem
Het is niet alleen een zaak van Bash. Ook de webserver kan een rol spelen in of dit probleem tot een kwetsbaarheid kan leiden of niet. Sommige webservers blokkeren de exploit namelijk: https://www.hiawatha-webserver.org/weblog/76.
25-09-2014, 18:28 door Erik van Straten
Niet alleen voor Red Hat is de beveiligingsupdate incompleet, maar voor alle besturingssystemen met bash. Voor meer info zie mijn bijdrage in
https://www.security.nl/posting/403232/Ernstig+lek+in+Linux%2C+Mac+OS+X+en+Unix+ontdekt#posting403237.
27-09-2014, 04:53 door Anoniem
enige terughoudendheid vind ik wel op zn plaats, dames en heren:


bash is default niet aanwezig in unix. alleen BSD, Mac os X en Linux.

bash is default niet activeerbaar van buiten het systeem.

alleen webservers (of andere software) die anonieme access toestaan, EN bash gebruiken als programmeertaal zijn
kwetsbaar.
de meeste professionele sites draaien php, java e.d.

bash gebruiken als je website programmeer taal was en is niet echt recommended, de laatste 20 jaar.

De vergelijking met heartbleed is dan wel heel erg scheef:
heartbleed gaat over SSL, een component die er ALLEEN maar is om security te bieden. Die pretentie heeft Bash nooit gehad, en is ook niet bedoeld als web-programmeertaal.

Heartbleed maakte ELKE server die SSL gebruikte kwetsbaar.
van alle systemen met bash is dat zeer zeker niet het geval.

Last but not least; kopieer de KSH gewoon over de bash en de sh heen, dan is het probleem weg. 100% zeker. wat er niet is kan ook niet stuk gaan, he.....

werkt prima met mijn linux, dus de uwe zal het ook wel kunnen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.