OS X turvallisuusuhka 25.9

[ER]

Tämä nykyaika herättää minussa luddiittisia kaipauksia. Paluuta aikaan, jolloin moderneinta tekniikkaa oli hehkulamppu ja putkiradio.

[jussiu]

Bashin voi myös patchata omalta koneeltaan, jos tuntee itsensä oikein rohkeaksi. Linkin lähteenä yksi Googlen Apple-insinööreistä, eli ohjeisiin voi melko suurella todennäköisyydellä luottaa:

https://plus.google.com/109088229817689 ... HVJTaQe9Xy

Eli:

Updating OS X to fix the bash bug

As you may have heard, a critical security bug in bash was recently found.[1] Both OS X 10.9 and 10.10 are affected. You can check if you are by running this snippet:

$ X='() { x; }; echo vulnerable' bash -c ''

If you see 'vulnerable' in the output, you need to be patched.

While Apple has yet to release a patch, you may be anxious to fix this in your fleet. Here's how:

0) Install Xcode

1) Dowload the bash source code from Apple's OpenSource repository[2]:
$ curl -O https://opensource.apple.com/tarballs/b ... 92.tar.gz

2) Dowload the bash 3.2 patch from gnu.org:
$ curl -O https://ftp.gnu.org/pub/gnu/bash/bash-3 ... bash32-052

3) Expand the bash source:
$ tar xzf bash-92.tar.gz

4) Apply the patch:
# Apply patch in the bash-92/bash-3.2 directory
$ cd bash-92/bash-3.2
$ patch -p0 <../../bash32-052
patching file builtins/common.h
patching file builtins/evalstring.c
patching file variables.c
patching file patchlevel.h

5) Build the patched version:
# Build from the bash-92 directory
$ cd ..
$ xcodebuild

6) Test the new shell:
$ X='() { x; }; echo vulnerable' ./build/Release/bash -c ''
./build/Release/bash: warning: X: ignoring function definition attempt
./build/Release/bash: error importing function definition for `X'

7) Use your configuration management (puppet, chef, Casper) or package management (munki, Casper) to deploy both the new bash and sh.


N.B.: This first official patch doesn't mitigate every problem with the code, so keep up-to-date with discussions about it.

Short URL to this post:
http://goo.gl/NPkiL9

[1] Lots of sources:
http://web.nvd.nist.gov/view/vuln/detai ... E-2014-627
http://seclists.org/oss-sec/2014/q3/650
http://lcamtuf.blogspot.com/2014/09/qui ... mpact.html

[2] http://www.opensource.apple.com/release/os-x-1094/

[jkoodari]

Esimerkki haavoittuvuuden hyödyntämisestä: http://security.stackexchange.com/quest ... -exploited

CGI:n lisäksi vihamielisellä DHCP-palvelimella näyttää pääsevän samantapaiseen tulokseen. Aiheuttaako tämä haavoittuvuus muita uhkia? Jos ei pyöritä CGI-skriptejä ja luottaa verkon DHCP-palvelimiin, onko syitä miksi esimerkiksi bashin omatoimista päivittämistä pitäisi harkita? Onko pelkässä työasemakäytössä todellista vaaraa?

http://www.imore.com/apple-working-quic ... ck-exploit

[JohannesL]

Moi,

Oma havaintoni on se, että MacBook:ini lisäasennus Firewall:iin on tullut SSH yhteysyrityksiä maaliskuusta alkaen selkeästi enemmän, mitä aikaisemmin. Ei kotiverkossa, mutta työmatkoilla hotelleissa eri maissa.

Voi tietenkin olla sattumaa ja tämä on vain yhden tietokoneen otos, mutta asia on minua oudoksuttanut siitä saakka, kun sen huomasin.

Johannes

[spiidi78]

Taas yksi hyvä syy käyttää ZSH:ta Vaikkei koneella mitään webbiserveriä pystyssä pidäkään..

[antoine]

Kuten todettu, valintasi sen suhteen, mitä komentotulkkia itse käytät, ei vaikuta tähän asiaan mitenkään.

[spiidi78]

Kuten todettu, valintasi sen suhteen, mitä komentotulkkia itse käytät, ei vaikuta tähän asiaan mitenkään.

Miksei vaikuta? Asianhan voi testata, jos iskee pelko.

[Mikael K.]

Selittäkää vielä selkokielellä ja neuvokaa kädestä pitäen millaiset muutokset ja mitä pitää tehdä, niin että ongelman saa kierrettyä tai poistettua. Eli vaikka seuraavan kaavan mukaan:

1. Ensiksi tee näin...
2. Sitten tee näin...
.
.
.

X. Ongelma ratkaistu!

[Mailia]

Miksei vaikuta? Asianhan voi testata, jos iskee pelko.

Oletko poistanut bashin koneeltasi tai poistanut siitä suoritusoikeuden?

[MacFinn]

Lainaus: http://www.imore.com/about-bash-shellsh ... means-os-x

You'd have to be running software that is accessible to the outside world and invokes Bash when it is run.

eli ei taida esim. meikäläistä pahemmin uhata, vai?

[jkoodari]

ei taida esim. meikäläistä pahemmin uhata, vai?

Jos et pyöritä koneellasi www-palvelua, ei uhkaa.

[spiidi78]

Miksei vaikuta? Asianhan voi testata, jos iskee pelko.

Oletko poistanut bashin koneeltasi tai poistanut siitä suoritusoikeuden?

Tosiaan, en ajatellut pystyisikö joku ajamaan manuaalisesti bashia verkon yli jollain kikalla. Jos pystyy niin sitten bashin hävittäminen ja /bin/sh symlinkkaaminen toiseen shelliin lienee ainoa keino. Ubuntussa muuten /bin/sh on symlinkattu dashiin, jossa ei ole tuota aukkoa.

[omenakonsultti]

Lukemieni kirjoitusten perusteella ns. kotikäyttäjä ei ole vaarassa.

Uhka on todellinen vain jos:

1. Käytät macciä palvelimena. Tai
2. Käyttämäsi ohjelma hyödyntää Bashia ja on yhteydessä verkkoon.

Lopputuloksena todennäköisyydet kotikäyttäjän altistumisesta ovat promillen murto-osan luokkaa koska hyvin harva OS X ohjelma käyttää Bashia.

Toivottavasti Apple korjaa ongelman pian koska palvelimien altistuminen voi haitata tavallisia käyttäjiä.

[vaeykki]

Ja nyt olisi Applen paikkaukset jaossa:

Mavericks: http://support.apple.com/kb/DL1769
Mountain Lion: http://support.apple.com/kb/DL1768
Lion: http://support.apple.com/kb/DL1767

[MacFinn]

Oikeastaan jännä, ettei näitä tullut AppStoreen päivityksenä. Tai ei ainakaan mun kahteen koneeseen.

[Rillipiru]

No tämähän auttaa suuresti meitä Yosemite käyttäjiä.

[jkoodari]

ettei näitä tullut AppStoreen päivityksenä

Halunnevat pakata suuremman määrän muutoksia storen kautta jaettavaan päivitykseen.

[Juhani L]

Ja nyt olisi Applen paikkaukset jaossa

Hieno juttu, nopsasti asentui.

Oikeastaan jännä, ettei näitä tullut AppStoreen päivityksenä. Tai ei ainakaan mun kahteen koneeseen.

Apple saattoi arvioida, että tavallisen käyttäjän Bash-riski ei ollut niin suuri, että pelkkää Bash-päivitystä olisi laitettu järjestelmäpäivitykseksi. Luultavasti tulee AppStoreen hieman myöhemmmin.

[KenSu]

No tämähän auttaa suuresti meitä Yosemite käyttäjiä.

Se on beta ja varustettu beta-versioihiin liittyvillä epävarmuustekijöillä. Use at your own risk ja sitä rataa.

[antoine]

Ja nyt olisi Applen paikkaukset jaossa

Ks. kuitenkin http://hopeinenomena.net/viewtopic.php? ... 3#p1714633

[Ruffe]

No tämähän auttaa suuresti meitä Yosemite käyttäjiä.

Havoittuvuuden voi myös patchata manuaalisesti jos on esim. Yosemite tai Lionia aikaisempi käyttäjä.

Artikkelissa myös todetaan, että Applen virallinen paikkaus päivittää bashin versioon 3.2.53, kun taas manuaalinen paikkaus päivittää versioon 3.2.54, joka kattaa enemmän haavoittuvuuksia.

http://mac-how-to.wonderhowto.com/how-t ... x-0157606/