(UPDATE) – #BASH auf #OSX 10.9.5 #Shellshock

Menu:Home/(UPDATE) – #BASH auf #OSX 10.9.5 #Shellshock

(UPDATE) – #BASH auf #OSX 10.9.5 #Shellshock

Himmel! Bash! Naja, bei Apple dauert es ja im Regelfall etwas länger. So wird es einige geben, welche sich mit bash beschäftigt haben und aufgescheucht sind. Es ist jedoch relativ leicht zu fixen. Alle Infos zum Thema gibt’s hier und hier. Da es in recht kurzer Zeit wohl mehrere Updates geben wird, da die aktuelle Version nach Meinung vieler ebenfalls löchrig ist, wie ein Sieb, sollte man sich ggf. doch um eine Verbesserungsmöglichkeit selbst kümmern. Hier steht wie’s geht


Update 29.09.2014: Apple hat ein Sicherheitsupdate verfügbar gemacht: Klick. Nachfolgende Schritte sind nicht mehr notwendig.

Zunächst mal testen. Also terminal öffnen und:

[framed_box style=“info“]
env x='() { :;}; echo vulnerable‘ bash -c ‚echo hello‘
env X='() { (a)=>\‘ sh -c „echo date“; cat echo
[/framed_box]
Ein Hallo oder ein Datum sollte da nicht zu sehen sein…
Falls nein: ->Goto #Blogpostende Falls ja: Besorgt Euch XCode von Apple -> Klick
 
Anschließend marschiert Ihr mit einem administrativen Benutzer in’s Terminal und kompiliert Euch Bash neu, d.h. Ihrführt wie folgt aus:

[framed_box style=“info“]
mkdir bash-fix
cd bash-fix
curl https://opensource.apple.com/tarballs/bash/bash-92.tar.gz | tar zxf –
cd bash-92/bash-3.2
curl https://ftp.gnu.org/pub/gnu/bash/bash-3.2-patches/bash32-052 | patch -p0
cd ..
xcodebuild
sudo cp /bin/bash /bin/bash.old
sudo cp /bin/sh /bin/sh.old
build/Release/bash –version # GNU bash, version 3.2.52(1)-release
build/Release/sh –version # GNU bash, version 3.2.52(1)-release
sudo cp build/Release/bash /bin
sudo cp build/Release/sh /bin
[/framed_box]
Wieder testen:
[framed_box style=“info“]
env x='() { :;}; echo vulnerable‘ bash -c ‚echo hello‘
env X='() { (a)=>\‘ sh -c „echo date“; cat echo
[/framed_box]
Alten Müll wegräumen:
[framed_box style=“info“]
sudo chmod a-x /bin/bash.old /bin/sh.old
[/framed_box]
#Blogpostende
Kuh vom Eis.

By | 2014-09-30T00:05:26+00:00 25.09.2014|Allgemein|Kommentare deaktiviert für (UPDATE) – #BASH auf #OSX 10.9.5 #Shellshock

About the Author:

John Lose
John Lose ist Informationstechnologe und Datenreisender. Manche mögen ihn als "Aluhut-Träger" bezeichnen, denn er mag nur kleine Rechenzentren, die er selbst kennt. Public Clouds kommen für Ihn höchstens für Webseiten in Frage. John ist Katzenliebhaber, hat aber keine Katze, fährt gerne nach Südfrankreich und hört Tech-House. Mehr über John Lose erfährst Du in seiner Vita.  Wenn Dir dieser Beitrag gefallen hat, so kannst Du auch Danke sagen, wenn Du möchtest:  >> Dankeschön <<.