eerder topic   volgend topic
  
Apple beveiliging tegen 'Shellshock'
30 september 2014 - 00:22   
geplaatst door: Rob en Rol
Er is een security update voor dat Bash-ding, die Shellshock waar zo veel ophef over is geweest afgelopen week. Via software-update kreeg ik hem niet binnen, maar via de links op de website van OSX Daily wel: http://osxdaily.com  
Apple beveiliging tegen 'Shellshock'
30 september 2014 - 01:13    reactie #1
geplaatst door: JGO
Meldingen met betrekking tot veiligheid: Altijd wel zo fijn om z.s.m. te horen :thumbs-up:
Doordrammende 8600, Zoevende G3 en
een MacMini
Apple beveiliging tegen 'Shellshock'
30 september 2014 - 01:26    reactie #2
geplaatst door: Robert
Morgenochtend schrijf ik er een nieuwsbericht over, nu eindelijk pitten...   :wink:
Klik hier voor informatie over het onder de aandacht brengen van producten of diensten op MacFreak.
Apple beveiliging tegen 'Shellshock'
30 september 2014 - 07:19    reactie #3
geplaatst door: Spooter
Staat nog niet bij de updates via software update:

http://support.apple.com/kb/DL1769

Apple beveiliging tegen 'Shellshock'
30 september 2014 - 08:08    reactie #4
geplaatst door: Wimusia
Als ik na bovengelinkte update env x='() { :;}; echo vulnerable' bash -c "echo this is a test" uitvoer, krijg ik alleen "this is a test" en niet meer met vulnerable ervoor. :biggrin:
Mac mini 16 GB - 256 GB SSD - MacOS - iPhone SE 10.0.2- Synology DS 412+ Apple TV 3 (A1469) iPad Air 2 64Gig 9.3.5
Apple beveiliging tegen 'Shellshock'
30 september 2014 - 09:17    reactie #5
geplaatst door: Spooter
Controleer met bash --version welke versie je hebt en dan weet je genoeg.
Apple beveiliging tegen 'Shellshock'
30 september 2014 - 09:37    reactie #6
geplaatst door: Wimusia

Citaat
Spooter om 9:17, 30-09-2014
Controleer met bash --version welke versie je hebt en dan weet je genoeg.

GNU bash, version 3.2.53(1)-release (x86_64-apple-darwin13) zegt me dus niets!

Mac mini 16 GB - 256 GB SSD - MacOS - iPhone SE 10.0.2- Synology DS 412+ Apple TV 3 (A1469) iPad Air 2 64Gig 9.3.5
Apple beveiliging tegen 'Shellshock'
30 september 2014 - 09:40    reactie #7
geplaatst door: Wilko Plesmans
De vraag is op welke wijze dit probleem is 'gepatched'. In een artikel op arstechnica hier eerder al door Pieterr genoemd in dit draadje wordt aangegeven dat de hiervoor gebruikte fixes kunnen worden omzeilt. Om het probleem voorgoed op te lossen zou een belangrijke aanpassing nodig zijn:

Citaat
In other words, “Shellshock” may be partially patched, but it’s still highly dangerous on systems that might use bash to pass information to the operating system or to launch other software. And it may take a significant change to fix the code.

De werkwijze van Apple kennende vrees ik dat men hier voorlopig voor de makkelijke oplossing heeft gekozen. Dit punt is dan nog niet klaar.

Apple beveiliging tegen 'Shellshock'
30 september 2014 - 09:59    reactie #8
geplaatst door: Dampflok
De update van Apple werkt bash bij tot versie 3.2.53. De methode zoals die op internet hier en daar wordt aangeboden werkt deze bij tot versie 3.2.54. Hieronder zoals ik deze heb toegepast. Ik kan mij voorstellen dat de inhoud van de door Apple aangeboden update iets dergelijks uitvoert maar dan met een klein verschil in versienummer aangezien versie 3.2.54 één dag na 3.2.53 uitkwam.

Code: [Selecteer]

mkdir bash-fix
cd bash-fix
curl https://opensource.apple.com/tarballs/bash/bash-92.tar.gz | tar zxf -
cd bash-92/bash-3.2
curl https://ftp.gnu.org/pub/gnu/bash/bash-3.2-patches/bash32-052 | patch -p0
curl https://ftp.gnu.org/pub/gnu/bash/bash-3.2-patches/bash32-053 | patch -p0
curl https://ftp.gnu.org/pub/gnu/bash/bash-3.2-patches/bash32-054 | patch -p0
cd ..
# Note: DO NOT ADD SUDO TO XCODEBUILD HERE
xcodebuild
build/Release/bash --version # GNU bash, version 3.2.54(1)-release
build/Release/sh --version   # GNU bash, version 3.2.54(1)-release
sudo cp /bin/bash /bin/bash.old
sudo cp /bin/sh /bin/sh.old
sudo cp build/Release/bash /bin
sudo cp build/Release/sh /bin
sudo chmod a-x /bin/bash.old /bin/sh.old
Apple beveiliging tegen 'Shellshock'
30 september 2014 - 10:47    reactie #9
geplaatst door: het ModeratorTeam
Hier een slotje, graag in dit draadje verder.
met vriendelijke groet, het ModeratorTeam
  
eerder topic   volgend topic