Beveiligingsupdate Red Hat voor bash-lek incompleet
Een beveiligingsupdate die Red Hat voor het ernstige bash-lek uitbracht is niet compleet, zo hebben de ontwikkelaars laten weten. Gisteren werd bekend dat een lek in bash, dat in de meeste op Unix-gebaseerde besturingssystemen zoals Linux en Mac OS X aanwezig is, een aanvaller kwetsbare systemen in bepaalde gevallen laat overnemen.
Red Hat kwam hierop met een update, maar die blijkt het probleem niet helemaal te verhelpen. "Een aanvaller kan speciaal geprepareerde omgevingsvariabelen met willekeurige commando's opgeven die in bepaalde omstandigheden op kwetsbare systemen worden uitgevoerd", aldus Red Hat. Het nieuwe probleem heeft ook een nieuw CVE-nummer gekregen, te weten CVE-2014-7169. Het oorspronkelijke bash-lek staat bekend als CVE-2014-6271. Red Hat werkt nu aan een nieuwe update. In de tussentijd is er een 'workaround' gepubliceerd.
https://www.security.nl/posting/403232/Ernstig+lek+in+Linux%2C+Mac+OS+X+en+Unix+ontdekt#posting403237.
bash is default niet aanwezig in unix. alleen BSD, Mac os X en Linux.
bash is default niet activeerbaar van buiten het systeem.
alleen webservers (of andere software) die anonieme access toestaan, EN bash gebruiken als programmeertaal zijn
kwetsbaar.
de meeste professionele sites draaien php, java e.d.
bash gebruiken als je website programmeer taal was en is niet echt recommended, de laatste 20 jaar.
De vergelijking met heartbleed is dan wel heel erg scheef:
heartbleed gaat over SSL, een component die er ALLEEN maar is om security te bieden. Die pretentie heeft Bash nooit gehad, en is ook niet bedoeld als web-programmeertaal.
Heartbleed maakte ELKE server die SSL gebruikte kwetsbaar.
van alle systemen met bash is dat zeer zeker niet het geval.
Last but not least; kopieer de KSH gewoon over de bash en de sh heen, dan is het probleem weg. 100% zeker. wat er niet is kan ook niet stuk gaan, he.....
werkt prima met mijn linux, dus de uwe zal het ook wel kunnen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
