Diskussion:Shellshock (Sicherheitslücke)
Kann jemand die Befehlsfolgen erklären? --
itu (Disk) 17:25, 27. Sep. 2014 (CEST)
Hat man auf einem Desktop-system /hinter einem Router auch ein Problem? -- itu (Disk) 17:25, 27. Sep. 2014 (CEST)
- In Golems ausführlichen Artikel stand, dass Router eher einfachere, weniger Ressourcen nutzende Shell zum Einsatz kommen. --Amtiss, SNAFU ? 04:49, 7. Okt. 2014 (CEST)
Unverständlich
[Quelltext bearbeiten]Kann jemand diesen Satz "Durch Shellshock können in Variablen Funktionen definiert werden und nach der Variable kann ungeprüft Programmcode ausgeführt werden" (und auch weitere in dem Text) in vernünftiges Deutsch übersetzen? Ich kann gerade erahnen, was gemeint ist. MichaelL2008 (Diskussion) 17:30, 27. Sep. 2014 (CEST)
- Jetzt besser? --Lückenloswecken! 21:20, 4. Nov. 2014 (CET)
Fehlermeldung?
[Quelltext bearbeiten]Ich bilde mir zwar ein anfangs auch diese besagte Fehlermeldung gesehen zu haben, aber es ist jetzt so dass ich ca. 2 Systeme habe, die mit env x='() { :;}; echo shellshockverwundbar' bash -c "" bzw. anderen Varianten als verwundbar erscheinen, sowie ca. 5 die nicht verwundbar angezeigt werden, aber auf keinem einzigen bekomme ich eine Fehlermeldung, d.h. wenn nicht verwundbar dann kommt überhaupt keine Ausgabe. -- itu (Disk) 21:07, 3. Okt. 2014 (CEST)
- Es ist keine Fehlermeldung, siehe Echo (Informatik). Probier einfach mal ein paar andere Test-Varianten aus. Die sehen auch einfacher aus und haben mehr Zeilen. -- Amtiss, SNAFU ? 04:49, 7. Okt. 2014 (CEST)
- Wie meinen? Es geht um die Fehlermeldung hier unten beim Entfernten, also " bash: warning: x: ignoring function definition attempt bash: error importing function definition for `x' " --
itu (Disk) 17:41, 7. Okt. 2014 (CEST)
- Wie meinen? Es geht um die Fehlermeldung hier unten beim Entfernten, also " bash: warning: x: ignoring function definition attempt bash: error importing function definition for `x' " --
Windows-Shell auch betroffen
[Quelltext bearbeiten]Auch wenn die Auswirkungen weniger schlimm sind (kein Sicherheitsebenen-überschreitender Fehler, wers ausnutzen kann, konnte es auch schon ohne), sollte erwähnt werden, dass unter Windows ähnliches möglich ist und sicherheitsrelevante Exploits hierfür befürchtet werden: mit Anwendungsbeispielen und Microsofts Reaktion (unwichtig) -- Amtiss, SNAFU ? 04:49, 7. Okt. 2014 (CEST)
Neuere Bugs
[Quelltext bearbeiten]- 2016-09-16 CVE-2016-7543 bash: Specially crafted SHELLOPTS+PS4 variables allows command substitution
https://access.redhat.com/security/cve/cve-2016-7543 1379630: CVE-2016-7543 bash: Specially crafted SHELLOPTS+PS4 variables allows command substitution
- 2015-10-16 CVE-2016-0634 bash: Arbitrary code execution via malicious hostname
https://access.redhat.com/security/cve/cve-2016-0634 1377613: CVE-2016-0634 bash: Arbitrary code execution via malicious hostname
2003:71:EF3D:7FFD:212:79FF:FE3E:B330 18:44, 29. Sep. 2017 (CEST)
Abschnitt 2.2 Server
[Quelltext bearbeiten]Hallo, die Angaben im Abschnitt 2.2 Server sind ein wenig dürftig. Sind darin eigentlich die IP-Adresse "0.0.0.0" durch eine konkrete IP-Adresse des (zu testenden) Servers zu ersetzen - oder sollte/muß diese als "0.0.0.0" direkt so stehen bleiben? Das fragt sich Guenni60 (Diskussion) 12:23, 5. Dez. 2018 (CET)