eerder topic   volgend topic
Volgende pagina   
Grote kwetsbaarheid voor o.a. Linux en OS X gevonden (Upd.)
25 september 2014 - 15:14   
geplaatst door: Robert
http://www.macfreak.nl/modules/news/images/Vault-icoon.jpg
Grote kwetsbaarheid voor o.a. Linux en OS X gevonden (Upd.)
Bij RedHat wordt altijd gezocht naar zwaktes in besturingssystemen, en dit keer zijn UNIX en daardoor ook Linux en OS X de klos. Het gaat om een Bash-commando dat in Terminal door veel programma's gebruikt wordt, vaak voor taken die in de achtergrond gebeuren.

Omdat Bash de default-shell voor Terminal in OS X is, en ook voor veel Linux distributies, zijn wij met z'n allen op dit moment extra kwetsbaar. En we hopen dat Apple erg snel met een oplossing komt, want deze kwetsbaarheid wordt nu al vergeleken met de Heartbleed SSL bug.

Wil je weten of je Mac ook kwetsbaar is dan kan je het volgende commando in Terminal plakken, gevolgd door een Return of Enter:
Citaat


env x='() { :;}; echo vulnerable' bash -c "echo this is a test"


Als jouw Mac kwetsbaar is krijg je dan als resultaat het volgende onder de code die je net hebt geplakt:
Citaat


vulnerable
this is a test


Deze nieuwe kwetsbaarheid heeft al een naam meegekregen: Shellshock, en is waarschijnlijk al aanwezig sinds het uitkomen van Bash in 1989, maar is nu pas ontdekt.

Inmiddels is er een update voor Bash die werkt voor versies van 3.0 tot en met 4.3, maar op de Mac moeten we wachten op een update van Apple. Er zijn nog geen gevallen bekend van misbruik van deze kwetsbaarheid, maar we nemen aan dat dit bij Apple de alarmbellen wel heeft doen afgaan.

Als Apple binnenkort, hopelijk al deze week of kort daarna, met een security update komt dan is het deze keer extra belangrijk om die meteen te installeren.

Maar over deze kwetsbaarheid is hier te lezen. Wil je niet op een update van Apple wachten, dan vind je de oplossing op deze pagina.




Update Inmiddels heeft Apple hierop gereageerd en duidelijk gemaakt dat alleen een kleine groep geavanceerde gebruikers hier last van zal hebben, omdat die bepaalde UNIX-opties geactiveerd hebben. Binnenkort zal Apple komen met een oplossing voor deze gebruikers.
Citaat


The vast majority of OS X users are not at risk to recently reported bash vulnerabilities. Bash, a UNIX command shell and language included in OS X, has a weakness that could allow unauthorized users to remotely gain control of vulnerable systems. With OS X, systems are safe by default and not exposed to remote exploits of bash unless users configure advanced UNIX services. We are working to quickly provide a software update for our advanced UNIX users.


We nemen aan dat die oplossing in een komende update voor OS X verwerkt zal zijn, zodat alle gebruikers van OS X zeker weten dat ze hier nooit last van kunnen krijgen.

Meer over dit onderwerp kan je hier lezen.



Klik hier voor informatie over het onder de aandacht brengen van producten of diensten op MacFreak.
Grote kwetsbaarheid voor o.a. Linux en OS X gevonden (Upd.)
25 september 2014 - 15:24    reactie #1
geplaatst door: GeorgeM
Zou het helpen als je een andere Shell voor Terminal instelt, bijvoorbeeld op deze manier?

Of maakt dat niet voor de commando's op de achtergrond?
Grote kwetsbaarheid voor o.a. Linux en OS X gevonden (Upd.)
25 september 2014 - 15:26    reactie #2
geplaatst door: ElectricCat


Dank Robert, In de link die jullie geven op het eind van het artikel  staat een h teveel hhttps
Grote kwetsbaarheid voor o.a. Linux en OS X gevonden (Upd.)
25 september 2014 - 15:29    reactie #3
geplaatst door: Robert
@ ElectricCat: bedankt voor het seintje, de link is meteen aangepast.
Klik hier voor informatie over het onder de aandacht brengen van producten of diensten op MacFreak.
Grote kwetsbaarheid voor o.a. Linux en OS X gevonden (Upd.)
25 september 2014 - 16:24    reactie #4
geplaatst door: Brinky
Ok ik ben kwetsbaar wat nu?  :cry:
Grote kwetsbaarheid voor o.a. Linux en OS X gevonden (Upd.)
25 september 2014 - 16:53    reactie #5
geplaatst door: Wilko Plesmans
Duidelijk. Wat moet ik in de tussentijd doen en bovenal ik ben kwetsbaar voor wat? Ik weet niet wat ik  hiermee moet.
Grote kwetsbaarheid voor o.a. Linux en OS X gevonden (Upd.)
25 september 2014 - 17:11    reactie #6
geplaatst door: Pieterr
"One experiment is worth a thousand expert opinions."
Grote kwetsbaarheid voor o.a. Linux en OS X gevonden (Upd.)
25 september 2014 - 17:15    reactie #7
geplaatst door: Pieterr
http://security.stackexchange.com/questions/68123/are-ordinary-os-x-desktops-at-risk-from-bash-shellshock-bug-cve-2014-6271

Citaat

The core of this attack is to create an environment variable that looks like a Bash scripting function but ends with the invocation of a program, and then causing Bash to be run. Bash will see the environment variable, parse it, and then keep parsing past the end of the function and run the program.

Any method of triggering Bash execution with at least one attacker-controlled environment variable will work. Web server CGI attacks are getting the attention right now, but a user logging in over SSH could do it (a failed login, however, can't). It's possible that some FTP servers could trigger it (say, through running a post-upload script). A PackageMaker-based installer could trigger it, but if you're running a hostile installer, you've got bigger problems than this. There are probably many other ways as well.

The average desktop user doing average desktop user activities is unlikely to have open attack vectors that could be used to trigger this bug, but Bash shows up in enough unexpected places that it's impossible to say for sure.
"One experiment is worth a thousand expert opinions."
Grote kwetsbaarheid voor o.a. Linux en OS X gevonden (Upd.)
25 september 2014 - 17:34    reactie #8
geplaatst door: Spooter
Ik vraag me af of Apple komt met een update, en als ze er al mee komen dan alleen voor Mavericks vermoed ik zo...

Dan maar zelf compileren  :tounge:

Maar ja iemand moet wel root toegang hebben tot je computer...
Grote kwetsbaarheid voor o.a. Linux en OS X gevonden (Upd.)
25 september 2014 - 18:11    reactie #9
geplaatst door: Kiiruna
Brinky, je bent al sinds 1989 kwetsbaar....
Wilko Plesmans, je hoeft niks te doen zolang je mac maar niet toegankelijk is voor boze geesten, en ik begrijp altijd van dit forum, dat je met je Mac safe zit zolang je er verstandig mee omgaat.
MacBook Pro 14 inch - Apple M1 Pro - 16 GB - iPhone SE 1e gen. - 32 GB - Apple Watch series 7
Grote kwetsbaarheid voor o.a. Linux en OS X gevonden (Upd.)
25 september 2014 - 21:57    reactie #10
geplaatst door: jaco123
Vervelende bug!

De vergelijking met Heartbleed gaat m.i. niet helemaal op. Bij Heartbleed was duidelijk hoe de aanval werkte (remote en niet te detecteren, da's echt zo'n beetje de ergste smaak die je je kunt voorstellen), maar dat is nu niet het geval. Ik vind het meer lijken op een SQL-injectie: ook daar is het helemaal afhankelijk van hoe je vanuit je applicatie de SQL-server aanroept. Doe je dat goed, dan is er weinig aan de hand, doe je dat niet goed, dan kan er van alles misgaan.

Van dit probleem is de impact nogal afhankelijk van het programma dat op de achtergrond bash aanroept. Daar is geen duidelijk overzicht van en elk programma kan dat (net als bij SQL) op een goede manier doen, waarbij er niks aan de hand is, of op een hele foute manier, waardoor de impact zeer groot kan zijn.

Om een uitspraak te kunnen doen over de impact zou je eigenlijk per programma moeten bekijken wat er mis kan gaan. Er zijn voorbeelden van DHCP-clients die bash op de achtergrond aanroepen met root-rechten. Ik weet niet hoe het met de OS X DHCP-client zit, maar bij een dergelijke aanval betekent dat zo'n beetje dat je nergens meer je wifi aan moet zetten waar je de dhcp-server niet kunt vertrouwen. Dat heeft nogal impact voor mensen die veel onderweg zijn....

Wat nu doen? Tja... hopen dat er snel meer duidelijkheid en een reparatie-slag van Apple komt.
Grote kwetsbaarheid voor o.a. Linux en OS X gevonden (Upd.)
25 september 2014 - 23:28    reactie #11
geplaatst door: peterdh
ook in de public beta van Yosemite zit deze bug nog overigens
Fit & Firm Massage, Groet, Peter
Grote kwetsbaarheid voor o.a. Linux en OS X gevonden (Upd.)
26 september 2014 - 09:34    reactie #12
geplaatst door: Ruud Ravenhorst
@peterdh Dat lijkt me logisch: je beta is van voor het moment deze kwetsbaarheid werd ontdekt...
Never gone back since I went to the Mac (which was in March 1984).
Grote kwetsbaarheid voor o.a. Linux en OS X gevonden (Upd.)
26 september 2014 - 13:11    reactie #13
geplaatst door: peterdh
het was alleen een melding, verder niets  :cool:
Fit & Firm Massage, Groet, Peter
Grote kwetsbaarheid voor o.a. Linux en OS X gevonden (Upd.)
26 september 2014 - 13:47    reactie #14
geplaatst door: kebdarge
nog nieuws hier? Of is iedereen aan het testen of z'n nieuwe iPhone wel of niet buigt?

Dit is echt serieuze shit. Alle Linux distro's hebben al updates uitgebracht. Apple laat erg op zich wachten.

Als je nu met je eigen wifi router op Schiphol gaat staan kan je waarschijnlijk in een dag honderden mensen hacken.
Grote kwetsbaarheid voor o.a. Linux en OS X gevonden (Upd.)
26 september 2014 - 14:02    reactie #15
geplaatst door: MackeyV40
Ik ben bang dat dit meer gevolgen kan hebben als menigeen denkt. Nu weet ik dat iOS standaard geen terminal app heeft, is ook helemaal niet nodig imho. Toch kun je ook op iOS webbased apps draaien, en dan lijkt het mij dat je dezelfde shit hebt: ook in iOS wordt de DARWIN code gebruikt, dus FreeBSD als basis met daarin hoogstwaarschijnlijk dezelfde vulnerabilities.

Iemand enig idee of die dit kan ontzenuwen?
MacBook Pro (13-inch, 2020, 4 Thunderbolt-3 ports. Intel Core i5 1,8 GHz, 16 GB, 500 gB SSD), iPhone 15 128 gB, iPad 6 (9.7 inch, 2018) 32 gB, iPad 8 (9.7 inch, 2020), 32 gB, Apple Watch 8 LTE, Apple Watch Ultra 2.
Grote kwetsbaarheid voor o.a. Linux en OS X gevonden (Upd.)
26 september 2014 - 14:42    reactie #16
geplaatst door: Pieterr
@MackeyV40: De bug zit niet in Darwin maar in Bash. iOS gebruikt geen Bash shell. De afscherming van afzonderlijke programma's naar de rest van het systeem is in iOS nog een stuk strikter dan in OS X (bron: dit boek).

Dat deze bug veel gevolgen kan hebben is zeker waar, maar niet op iOS devices (zonder jailbreak).
"One experiment is worth a thousand expert opinions."
Grote kwetsbaarheid voor o.a. Linux en OS X gevonden (Upd.)
26 september 2014 - 16:47    reactie #17
geplaatst door: MackeyV40
Okay, thnx, Pieterr! Heldere uitleg, ik gerustgesteld, mensen waar ik voor werk gerustgesteld!
MacBook Pro (13-inch, 2020, 4 Thunderbolt-3 ports. Intel Core i5 1,8 GHz, 16 GB, 500 gB SSD), iPhone 15 128 gB, iPad 6 (9.7 inch, 2018) 32 gB, iPad 8 (9.7 inch, 2020), 32 gB, Apple Watch 8 LTE, Apple Watch Ultra 2.
Grote kwetsbaarheid voor o.a. Linux en OS X gevonden (Upd.)
27 september 2014 - 07:18    reactie #18
geplaatst door: Pieterr
Binnenkort komt er een fix van Apple. http://www.macissues.com/2014/09/26/apple-responds-to-shell-shock-fix-coming-soon/

Citaat


The vast majority of OS X users are not at risk to recently reported bash vulnerabilities. Bash, a UNIX command shell and language included in OS X, has a weakness that could allow unauthorized users to remotely gain control of vulnerable systems. With OS X, systems are safe by default and not exposed to remote exploits of bash unless users configure advanced UNIX services. We are working to quickly provide a software update for our advanced UNIX users.


"One experiment is worth a thousand expert opinions."
Grote kwetsbaarheid voor o.a. Linux en OS X gevonden (Upd.)
27 september 2014 - 07:56    reactie #19
geplaatst door: mattiman
Weet iemand een artikel waar beschreven staat wat precies die advanced services zijn?
Grote kwetsbaarheid voor o.a. Linux en OS X gevonden (Upd.)
27 september 2014 - 08:05    reactie #20
geplaatst door: Pieterr
@mattiman: Als je een webserver draait op je Mac bijvoorbeeld. Zie ook volgende link: http://arstechnica.com/security/2014/09/still-more-vulnerabilities-in-bash-shellshock-becomes-whack-a-mole/
De problemen met Bash zijn nog niet volledig opgelost met de huidige patches. De meer rigoureuze oplossingen (zoals het automatisch importeren van functies in de bash shell uitzetten) zijn niet backward-compatible en kunnen voor veel extra (validatie)werk gaan zorgen voor leveranciers van (embedded) software systemen.

"One experiment is worth a thousand expert opinions."
Grote kwetsbaarheid voor o.a. Linux en OS X gevonden (Upd.)
27 september 2014 - 09:00    reactie #21
geplaatst door: Wilko Plesmans
De zinsnede:
Citaat
The vast majority of OS X users are not at risk to recently reported bash vulnerabilities.

Stelt mij weinig gerust wanneer je met het draaien van een webserver al kwetsbaar bent. Ik zie dit als een poging om te bagatelliseren, temeer daar blijkt dat de patches omzeilt kunnen worden.
Grote kwetsbaarheid voor o.a. Linux en OS X gevonden (Upd.)
27 september 2014 - 11:14    reactie #22
geplaatst door: mattiman

Citaat
Pieterr om 8:05, 27-09-2014
@mattiman: Als je een webserver draait op je Mac bijvoorbeeld. Zie ook volgende link: http://arstechnica.com/security/2014/09/still-more-vulnerabilities-in-bash-shellshock-becomes-whack-a-mole/
De problemen met Bash zijn nog niet volledig opgelost met de huidige patches. De meer rigoureuze oplossingen (zoals het automatisch importeren van functies in de bash shell uitzetten) zijn niet backward-compatible en kunnen voor veel extra (validatie)werk gaan zorgen voor leveranciers van (embedded) software systemen.


@Pieter: ik heb wel een webserver draaien (AMPPS), maar voorzover ik weet geeft deze alleen lokale toegang.
Grote kwetsbaarheid voor o.a. Linux en OS X gevonden (Upd.)
27 september 2014 - 12:09    reactie #23
geplaatst door: Wilko Plesmans
Een webserver draait onder een eigen user b.v. _www, sommige onderdelen kunnen zelfs onder root draaien. Weet jij zeker dat er geen bash opdrachten worden gegeven door deze server/user?
Grote kwetsbaarheid voor o.a. Linux en OS X gevonden (Upd.)
27 september 2014 - 12:13    reactie #24
geplaatst door: pth
Ik snap er geen re...euh zak van, kan ik nu wel of niet internetten ....wat is dat bash precies, graag in leken taal. Moet ik nu dat gallige windows weer gaan gebruiken :wacko: ??
Het heeft als ik het goed begrijp met website's te maken, dus is de site van mijn bank dan wel te vertrouwen of ben je ook kwetsbaar als je alleen mail ophaalt of de update's van apple
Al met al voor mij zo onduidelijk als koffiedik......wie oh wie kan het mij uitleggen :thumbs-up:

(Bewerkt door pth om 12:18, 27-09-2014)
De vrijheid van de een is de gevangenis van een ander
Volgende pagina   
eerder topic   volgend topic