bash-Updates für 10.7 bis 10.9 (Mix) | Mac & macOS

bash-Updates für 10.7 bis 10.9

Mac & macOS – Schnaks, 29.09.2014 – 29.09.2014 bearbeitet durch Schnaks

» OS X bash Update 1.0 is now available and addresses the following:
»
» Bash
» Available for: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5,
» OS X Mavericks v10.9.5
» Impact: In certain configurations, a remote attacker may be able to execute arbitrary
» shell commands
» Description: An issue existed in Bash's parsing of environment variables. This issue was
» addressed through improved environment variable parsing by better detecting the end of
» the function statement.
» This update also incorporated the suggested CVE-2014-7169 change, which resets the
» parser state.
» In addition, this update added a new namespace for exported functions by creating a
» function decorator to prevent unintended header passthrough to Bash. The names of all
» environment variables that introduce function definitions are required to have a
» prefix "__BASH_FUNC<" and suffix ">()" to prevent unintended function passing via
» HTTP headers.
» CVE-ID
» CVE-2014-6271 : Stephane Chazelas
» CVE-2014-7169 : Tavis Ormandy
»
»
» OS X bash Update 1.0 may be obtained from the following webpages:
» http://support.apple.com/kb/DL1767 [apple.com] – OS X Lion
» http://support.apple.com/kb/DL1768 [apple.com] – OS X Mountain Lion
» http://support.apple.com/kb/DL1769 [apple.com] – OS X Mavericks
»
» To check that bash has been updated:
»
» * Open Terminal
» * Execute this command:
» bash --version
» * The version after applying this update will be:
» OS X Mavericks: GNU bash, version 3.2.53(1)-release (x86_64-apple-darwin13)
» OS X Mountain Lion: GNU bash, version 3.2.53(1)-release (x86_64-apple-darwin12)
» OS X Lion: GNU bash, version 3.2.53(1)-release (x86_64-apple-darwin11)
- SchankeDön !
  
  Mac & macOS – Cayuga, 29.09.2014
  
  Wir hatten schon das update des 10.6 Servers "per Hand" (auf Version 4) gemacht …. das hier spart Arbeit ...
- für 10.6.7 ist natürlich nichts dabei
  
  Mac & macOS – Zimmermac, 29.09.2014
  
  und so weigert der Installer seinen Dienst. Was wird passieren, wenn ich das Paket öffne und die Dateien einfach von Hand an die richtigen Stellen kopiere, die Menge ist ja ganz übersichtlich?
  
  Ich habe leider keinen Rechner zum ausprobieren an der Hand
  
  Danke für den Hinweis übrigens
  
  ----------
  
  Entropie braucht keine Wartung.
- - 10.6 wird soch nicht mehr unterstützt. War eigentlich klar, dass da nichts mehr kommt n/t
    
    Mac & macOS – diddom, 30.09.2014
  - Gibt auch von den Darwin und FreeBSD Entwicklern noch keinen Patch
    
    Mac & macOS – HeikO, N/FÜ/ER, 30.09.2014 – 30.09.2014 bearbeitet durch HeikO
    
    Abgesehen davon ist das nur kritisch, wenn das Ding als Server irgendwo im Internet/Intranet hängt.
    
    Klar kann man die Dateien einfach reinkopieren, aber das kann diverse Probleme geben, weil irgendwo in Darwin ein File existiert, in dem Abhängigkeiten und Parameter dafür eingetragen sind.
    
    Es kann funktionieren - muß aber nicht. Ich weiß nicht, ob das Binary vorkompiliert ist oder durch den Installer erst kompiliert wird und wo der Installer das File dann für das System referenziert. Von den diversen kleinen Systemunterschieden zu 10.6, 10.7, 10.8 und 10.9 mal zu schweigen.
    
    Hier gibt's 'ne Anleitung, wie man das "zu Fuß" macht:
    http://www.macissues.com/2014/09/25/how-to-unofficially-fix-the-shell-shock-bash-vulnerability-in-os-x/
    
    -> neu: http://www.macissues.com/2014/09/29/apple-issues-fix-for-shell-shock-bash-vulnerability/
    
    Man sollte aber im Hinterkopf behalten, daß noch weitere Vulnerabilities entdeckt wurden, die ähnlich kritisch sind. Die müssen erst gefixt werden.
    
    Wenn der Rechner nicht als Server im Netz hängt, dann kann man das Problem vernachlässigen.
    
    ----------
    
    „Wer die Freiheit aufgibt um Sicherheit zu gewinnen, der wird am Ende beides verlieren.“ (Benjamin Franklin)
  - - interessante Hinweise, ich werde mir das mal ansehen
      
      Mac & macOS – Zimmermac, 30.09.2014
      
      mein Wegserver läuft auf einem MacBook Pro mit G4 Prozessor, hostet allerdings nur und hat keine Eingabefelder.
      
      ----------
      
      Entropie braucht keine Wartung.
    - - Wenn Du die Bash nicht brauchst - einfach umbenennen ...
        
        Mac & macOS – HeikO, N/FÜ/ER, 30.09.2014 – 30.09.2014 bearbeitet durch HeikO
        
        Liegt in /bin/bash
        
        Ist zwar nur Security by Obscurity, dürfte aber völlig ausreichen.
        
        Ich habe leider einen Server, der noch auf 10.5 läuft und das finde ich gar nicht lustig, weil der auch im Intranet unseres Hauptkunden hängt. Noch dazu brauche ich die Shell auf dem Rechner sehr häufig. Glaube jetzt nicht, daß die IT unseres Kunden uns nur so aus Spaß mal hackt. Dazu haben die gar keine Zeit. Aber alleine, daß das Loch da existiert, gefällt mir nicht.
        
        Wer sich auf der Kommandozeile sicher fühlt, der kann sich das mal ansehen:
        http://stackoverflow.com/questions/10574969/how-do-i-install-bash-3-2-25-on-mac-os-x-10-5-8
        
        Man kann auch einfach den Pfad umbiegen und die Benutzung der Shell für jeden außer dem Root-User verbieten.
        
        Show Plain Text
        chsh -s /usr/local/bin/bash
        
        Zeigt auf die Standard-Shell. Macht man in dem Verzeichnis einfach eine leere Datei "touch fake-shell" und gibt dann "chsh -s /usr/local/bin/fake-shell" ein, dann geht jeder Shell-Aufruf ins Leere. Das ist aber eine sehr schmutzige Methode und auch nicht 100% sicher.
        
        ----------
        
        „Wer die Freiheit aufgibt um Sicherheit zu gewinnen, der wird am Ende beides verlieren.“ (Benjamin Franklin)
      - ok ...
        
        Mac & macOS – Zimmermac, 30.09.2014
        
        meine Kenntnisse als Admin sind da eher rudimentär aber ich verstehe…
        
        umbenennen klingt gut, wenn es das einfach deaktiviert ist es perfekt für mich, weil ich es eh nicht brauche. Danke für die Tips.
        
        ----------
        
        Entropie braucht keine Wartung.
- Danke! n/t
  
  Mac & macOS – henner, 30.09.2014
- Danke. (Allerdings wird mir das Update unter OS X 10.9.5 nicht über die Softwareaktualisierung angeboten.) n/t
  
  Mac & macOS – chrisB, Luzern (Schweiz), 30.09.2014 – 30.09.2014 bearbeitet durch chrisB
- - Für 10.8.5 ebenso nicht. n/t
    
    Mac & macOS – Kosjer D, 30.09.2014
  - Auch nicht für OSX Server. Das ist schon merkwürdig, oder? n/t
    
    Mac & macOS – vatolin, 30.09.2014
  - - Das ist nicht merkwürdig, das ist peinlich. n/t
      
      Mac & macOS – Zimmermac, 30.09.2014
    - Da "OS X Server" seit Lion kein eigenständiges Betriebssystem mehr ist, sondern nur noch …
      
      Mac & macOS – Schnaks, 30.09.2014
      
      … Komponenten zur Basisinstallation hinzufügt, funktionieren die Updates (wie alle anderen) auch mit installiertem OS X Server. Da ist nichts merkwürdig dran (und peinlich schon gar nicht).
    - - Ein Angriff auf einen Server hat aber im Zweifel dramatischere Auswirkungen als ein Angriff auf Lieschen Müllers Macbook. Deshalb …
        
        Mac & macOS – vatolin, 30.09.2014
        
        … finde ich es merkwürdig, dass Apple das Patch nicht automatisiert über die SWA anbietet, oder zumindest über die Softwareupdatefunktion von Server.app 3.2.1.
        
        ----------
        
        #ehrenamt #macht #freizeit #sinnvoll
  - Möglicherweise liegt bash in einem Bereich, der für den App-Store-Installer nicht zugänglich ist
    
    Mac & macOS – StefanK, St. Gallen SG, Schweiz, 30.09.2014
    
    und einen Neustart wie bei den OS Updates wollte man vermeiden.
    Deshalb der herkömmliche.pkg-Installer.
    
    Nur eine Vermutung
    
    ----------
    
    Gruss
    
    Stefan
  - - Das klingt plausibel. n/t
      
      Mac & macOS – vatolin, 30.09.2014
    - Oder es hat bei Apple jemand nachgedacht …
      
      Mac & macOS – Schnaks, 30.09.2014
      
      … und statt der üblichen Update-Verbreitungsprozedur (erst erscheint es in der SWA, dann wird es auf apple.com veröffentlich, mit anschließender Mail über die Security-Liste bei entsprechenden Updates) das Update schnellstmöglich zur Verfügung gestellt, ohne auf den wie-lange-auch-immer-dauernden Prozess zum Release über den App Store zu warten.
- Danke! n/t
  
  Mac & macOS – Kosjer D, 30.09.2014
- Vielen Dank! n/t
  
  Mac & macOS – Fugal, 30.09.2014