BASH-LÜCKE: Die Hintergründe zu Shellshock

[Thomas]

Sorry, dass ich wieder mit eine Hiobsbotschaft komme, aber das geht uns fast alle etwas an:

http://www.golem.de/news/bash-luecke...09-109463.html

Dabei sollte man tunlichst am Ball bleiben, damit man nicht in die zweifelhafte Mühle der bösen Jungs gerät.

Es gibt mittlerweile Patches für das ein oder andere System, die aber nicht zu 100% dicht zu sein scheinen. Dennoch ist ein Update darauf besser als nichts.
Es betrifft so ziemlich alle Systeme die mit einer Bash arbeiten oder aber bei denen CGI-Skripte usw. zum Einsatz kommen, die Sessions auf einer Bash öffnen müssen, um zu funktionieren.

Mit einem lapidaren Spruch solltet Ihr das nicht auf die leichte Schulter nehmen.

[BugBuster]

mein Hoster war wohl schnell, jedenfalls gehen die Beispiel Scripte nicht.
In meiner Apache Log habe ich auch schon ein Versuch gefunden (shellshock-scan).

[tab]

Bei uberspace scheint es auch bereits alles gefixt zu sein. Zitat von uberspace.de auf Twitter:

Auch das heutige Bash-Update das die CVEs 2014-7169, 2014-7186 und 2014-7187 fixt ist nun verteilt. https://rhn.redhat.com/errata/RHSA-2014-1306.html …

Die Beispielskripte funktionieren da auch nicht (mehr).