Diskussion:Shellshock (Sicherheitslücke)

aus Wikipedia, der freien Enzyklopädie
Letzter Kommentar: vor 5 Jahren von Guenni60 in Abschnitt Abschnitt 2.2 Server
Zur Navigation springen Zur Suche springen

Kann jemand die Befehlsfolgen erklären? --Quetsch mich aus, ... itu (Disk) 17:25, 27. Sep. 2014 (CEST)Beantworten

Hat man auf einem Desktop-system /hinter einem Router auch ein Problem? --Quetsch mich aus, ... itu (Disk) 17:25, 27. Sep. 2014 (CEST)Beantworten

In Golems ausführlichen Artikel stand, dass Router eher einfachere, weniger Ressourcen nutzende Shell zum Einsatz kommen. --Amtiss, SNAFU ? 04:49, 7. Okt. 2014 (CEST)Beantworten

Unverständlich

[Quelltext bearbeiten]

Kann jemand diesen Satz "Durch Shellshock können in Variablen Funktionen definiert werden und nach der Variable kann ungeprüft Programmcode ausgeführt werden" (und auch weitere in dem Text) in vernünftiges Deutsch übersetzen? Ich kann gerade erahnen, was gemeint ist. MichaelL2008 (Diskussion) 17:30, 27. Sep. 2014 (CEST)Beantworten

Jetzt besser? --Lückenloswecken! 21:20, 4. Nov. 2014 (CET)Beantworten

Fehlermeldung?

[Quelltext bearbeiten]

Ich bilde mir zwar ein anfangs auch diese besagte Fehlermeldung gesehen zu haben, aber es ist jetzt so dass ich ca. 2 Systeme habe, die mit
env x='() { :;}; echo shellshockverwundbar' bash -c "" bzw. anderen Varianten als verwundbar erscheinen, sowie ca. 5 die nicht verwundbar angezeigt werden, aber auf keinem einzigen bekomme ich eine Fehlermeldung, d.h. wenn nicht verwundbar dann kommt überhaupt keine Ausgabe. --Quetsch mich aus, ... itu (Disk) 21:07, 3. Okt. 2014 (CEST)Beantworten

Es ist keine Fehlermeldung, siehe Echo (Informatik). Probier einfach mal ein paar andere Test-Varianten aus. Die sehen auch einfacher aus und haben mehr Zeilen. -- Amtiss, SNAFU ? 04:49, 7. Okt. 2014 (CEST)Beantworten
Wie meinen? Es geht um die Fehlermeldung hier unten beim Entfernten, also " bash: warning: x: ignoring function definition attempt bash: error importing function definition for `x' " --Quetsch mich aus, ... itu (Disk) 17:41, 7. Okt. 2014 (CEST)Beantworten

Windows-Shell auch betroffen

[Quelltext bearbeiten]

Auch wenn die Auswirkungen weniger schlimm sind (kein Sicherheitsebenen-überschreitender Fehler, wers ausnutzen kann, konnte es auch schon ohne), sollte erwähnt werden, dass unter Windows ähnliches möglich ist und sicherheitsrelevante Exploits hierfür befürchtet werden: mit Anwendungsbeispielen und Microsofts Reaktion (unwichtig) -- Amtiss, SNAFU ? 04:49, 7. Okt. 2014 (CEST)Beantworten

Neuere Bugs

[Quelltext bearbeiten]
  1. 2016-09-16 CVE-2016-7543 bash: Specially crafted SHELLOPTS+PS4 variables allows command substitution

https://access.redhat.com/security/cve/cve-2016-7543 1379630: CVE-2016-7543 bash: Specially crafted SHELLOPTS+PS4 variables allows command substitution

  1. 2015-10-16 CVE-2016-0634 bash: Arbitrary code execution via malicious hostname

https://access.redhat.com/security/cve/cve-2016-0634 1377613: CVE-2016-0634 bash: Arbitrary code execution via malicious hostname

2003:71:EF3D:7FFD:212:79FF:FE3E:B330 18:44, 29. Sep. 2017 (CEST)Beantworten

Abschnitt 2.2 Server

[Quelltext bearbeiten]

Hallo, die Angaben im Abschnitt 2.2 Server sind ein wenig dürftig. Sind darin eigentlich die IP-Adresse "0.0.0.0" durch eine konkrete IP-Adresse des (zu testenden) Servers zu ersetzen - oder sollte/muß diese als "0.0.0.0" direkt so stehen bleiben? Das fragt sich Guenni60 (Diskussion) 12:23, 5. Dez. 2018 (CET)Beantworten