Linux kwetsbaar voor aanvallen van buitenaf

[Paul Matthijsse]

Xubuntu 13.10 is 'vulnerable'.

En die zal ook 'vulnerable' blijven want die wordt al sinds juli niet meer ondersteund...

Ja, blijf dat zelf een beetje raar vinden, ondersteuning van slechts negen maanden. Maar goed, de daily build (van vandaag) van Xubuntu 14.10 is eveneens vulnerabel, zie ik net...

[Vistaus]

Ja, blijf dat zelf een beetje raar vinden, ondersteuning van slechts negen maanden.

Dat kan je raar vinden, maar daar hebben we andere topics voor. In dit topic gaat het over een lek in Bash en de updates daarvoor en updates komen alleen in dingen die ondersteund worden, zo simpel is het.

[Allard]

Tweede patch:
http://tweakers.net/nieuws/98693/nieuwe-patch-voor-bash-bug-beschikbaar.html

Vanochtend binnengekregen via de normale updates.


Wel even opletten met te snel op 'Yes' drukken; mogelijk zijn sommige mirrors besmet.
http://tweakers.net/nieuws/98693/nieuwe-patch-voor-bash-bug-beschikbaar.html?showReaction=7215041#r_7215041

En er is ook een derde update verschenen voor bash: http://www.ubuntu.com/usn/usn-2363-2/ 

[Vistaus]

Inderdaad Allard en hier op Antergos is die net binnengerold

[Henkp]

Xubuntu 13.10 is 'vulnerable'.

En die zal ook 'vulnerable' blijven want die wordt al sinds juli niet meer ondersteund...

Ja, blijf dat zelf een beetje raar vinden, ondersteuning van slechts negen maanden. Maar goed, de daily build (van vandaag) van Xubuntu 14.10 is eveneens vulnerabel, zie ik net...

Ik weet niet waar je dat gezien heb?, maar ik heb nu net Xubuntu 14.04.1 van af mijn laptop op gestart en de laatste up-dates op gehaald.
En net zoals gisteren, maar hier is hij dus echt niet vulnerabel.

[VuurVosje]

@Henkp
Lees nog eens goed wat er staat.
 

[Vistaus]

Volgens ubuntuupdates.org heeft 14.10 dezelfde Bash-update, ook in de daily build, gehad dus als ie kwetsbaar is, dan heeft Canonical een slechte patch geleverd voor 14.10. En dat kan ik me toch echt niet voorstellen.

[Henkp]

@Henkp
Lees nog eens goed wat er staat.
 

Sorry, je heb gelijk. 

[Paul Matthijsse]

Volgens ubuntuupdates.org heeft 14.10 dezelfde Bash-update, ook in de daily build, gehad dus als ie kwetsbaar is, dan heeft Canonical een slechte patch geleverd voor 14.10. En dat kan ik me toch echt niet voorstellen.

Mogelijk mijn fout: dat Xubuntu 14.10 vulnerabel is, maakte ik op uit een live-versie. Ik ging er vanuit dat de laatste patches ook in een daily build terechtkomen, maar misschien is dit niet het geval.

[Vistaus]

Volgens ubuntuupdates.org heeft 14.10 dezelfde Bash-update, ook in de daily build, gehad dus als ie kwetsbaar is, dan heeft Canonical een slechte patch geleverd voor 14.10. En dat kan ik me toch echt niet voorstellen.

Ik ging er vanuit dat de laatste patches ook in een daily build terechtkomen, maar misschien is dit niet het geval.

Dat is dus wél het geval.

[Peterbeter]

Het staat blijkbaar in de belangstelling bij de pers.
http://www.nieuws.nl/algemeen/20140926/Cyberveiligheidscentrum-geeft-Shellshock-advies
Hoe groot de geschetste gevaren zijn weet ik niet, maar dit is voor mij de eerste keer dat ik dergelijke geluiden in de pers lees
Tja ¨iedereen¨ heeft tegenwoordig een mobieltje of tablet met Android dus dat is en blijft voor hackers een aantrekkelijk publiek.

[Vistaus]

Het staat blijkbaar in de belangstelling bij de pers.
http://www.nieuws.nl/algemeen/20140926/Cyberveiligheidscentrum-geeft-Shellshock-advies
Hoe groot de geschetste gevaren zijn weet ik niet, maar dit is voor mij de eerste keer dat ik dergelijke geluiden in de pers lees
Tja ¨iedereen¨ heeft tegenwoordig een mobieltje of tablet met Android dus dat is en blijft voor hackers een aantrekkelijk publiek.

Oh ja, Android... ehm, mag ik je er wel even op wijzen dat ondanks de populariteit van Android dit een algemene Linux-bug is? Ieder Linux-apparaat kan worden overgenomen. Mijne bijv. ook en mijn smartphone draait SailfishOS en geen Android. Om maar een voorbeeld te noemen. Maar ook routers bijv. kunnen worden overgenomen en dat is ook een "aantrekkelijk publiek". Omdat deze bug zo algemeen is, is iedereen eigenlijk een "aantrekkelijk publiek" want iemand kan gewoon bij Bakker Bart aan een tafeltje zitten en jou telefoon overnemen en die probeert gewoon of jou telefoon kwetsbaar is, het OS kan hem niks schelen.

[Pjotr]

Het staat blijkbaar in de belangstelling bij de pers.
http://www.nieuws.nl/algemeen/20140926/Cyberveiligheidscentrum-geeft-Shellshock-advies
Hoe groot de geschetste gevaren zijn weet ik niet, maar dit is voor mij de eerste keer dat ik dergelijke geluiden in de pers lees
Tja ¨iedereen¨ heeft tegenwoordig een mobieltje of tablet met Android dus dat is en blijft voor hackers een aantrekkelijk publiek.

"Ook het mobiele besturingssysteem Android, dat weliswaar een Linux-variant is, bevat deze kwetsbaarheid niet, aldus het cybercentrum."

[asphyxia]

Lek wordt actief gebruikt: http://www.wired.com/2014/09/hackers-already-using-shellshock-bug-create-botnets-ddos-attacks/

Het lijkt erop dat met name minder betrouwbare DHCP servers een gevaar kunnen zijn. En voor servers in het algemeen is het alweer een heel ander verhaal.

Mooi dat Red Hat erbovenop zit, maar vooralsnog staan de Fedora forums vol met meldingen dat gebruikers 'shellshocked' zijn op de bash-test. Ik ben benieuwd waarmee de 'Teufelskerls' uit de Linux-communities uiteindelijk op de proppen komen. Ondertussen staan de MSM media met name vol over Macbooks.

Goed dat mijn bedrijfslaptop met W7 hiervoor niet besmettelijk is. Wel voor andere dingen, dat dan weer wel *zweet van voorhoofd veegt*.

Inmiddels vraagt menigeen zich af of we iets moeten doen dan wel vermijden. Ik heb het -helaas- nog niet kunnen achterhalen...

[Vistaus]

Het staat blijkbaar in de belangstelling bij de pers.
http://www.nieuws.nl/algemeen/20140926/Cyberveiligheidscentrum-geeft-Shellshock-advies
Hoe groot de geschetste gevaren zijn weet ik niet, maar dit is voor mij de eerste keer dat ik dergelijke geluiden in de pers lees
Tja ¨iedereen¨ heeft tegenwoordig een mobieltje of tablet met Android dus dat is en blijft voor hackers een aantrekkelijk publiek.

"Ook het mobiele besturingssysteem Android, dat weliswaar een Linux-variant is, bevat deze kwetsbaarheid niet, aldus het cybercentrum."

Nee, standaard Android niet maar wel Cynanogenmod. Althans, zo begreep ik. Ben geen Android-gebruiker dus kan het niet nagaan.

[Nick Lamar]

L.S. Ik heb de kwetsbaarheidtest op twee laptops gedaan. De ene laptop reageert met

bash: waarschuwing: x: ignoring function definition attempt
bash: fout tijdens importeren van functiedefinitie voor 'x'
this is a test

Deze is dus okay.
De andere laptop reageert met alleen

this is a test

(dus zonder vulnerable), is deze nou kwetsbaar of niet?

[VuurVosje]

Vandaag weer een nieuwe versie van bash in de updates.

[Tom]

Ja ik ook.  (bash 4.3-7ubuntu1.4)

[Stefan43]

Ik heb net ook een nieuwe update voor Bash ontvangen, op Xubuntu 14.04.1 LTS. Als ik na de installatie deze opdracht in de terminal uitvoer:

Code: [Selecteer]

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
krijg ik deze uitkomst:

Code: [Selecteer]

this is a test

[IHC1000]

Krijg net de Bourne .......... shell binnen samen met nieuwe firmware.
Heeft er volgens mij ook mee te maken.

En inderdaad wat een snelle reacties.

[Vistaus]

Krijg net de Bourne .......... shell binnen samen met nieuwe firmware.
Heeft er volgens mij ook mee te maken.

En inderdaad wat een snelle reacties.

Ja. BASH = Bourne Again Shell

[Michiel]

beste mensen,

ik zit hier met 2 identieke lenovo laptops, eentje Lubuntu en eentje Mint (laatste versies).
(binnenkort allebei Mint, na veel installaties blijkt Mint veruit het meest stabiel op deze Lenovo's, dit ter zijde )
Allebei geüpdatet, testje op beide gedraaid, helemaal goed
Wou ik zojuist even ook remote de laptop van me ma (Asus F551C) updaten.
Moeders gebeld om laptop (Mint, exact dezelfde versie als op Lenovo) aan te laten zetten. De boel geüpdatet, daarna reboot, gevolgd door het testje:
Nog steeds vulnarable?

Que?
Anybody?

[Pjotr]

Het lijkt me aan te raden om bij modem-routercombinaties van Ziggo, UPC en KPN, de algemeen toegankelijke Wifispots uit te schakelen. Vermoedelijk zijn de kabelboeren 'n stuk slomer met het uitrollen van de dichtgetimmerde bash, dan de veiligheidsploeg van Ubuntu....

[Vistaus]

Het lijkt me aan te raden om bij modem-routercombinaties van Ziggo, UPC en KPN, de algemeen toegankelijke Wifispots uit te schakelen. Vermoedelijk zijn de kabelboeren 'n stuk slomer met het uitrollen van de dichtgetimmerde bash, dan de veiligheidsploeg van Ubuntu....

Hoewel wij bij Solcon zitten, toch even deze vraag: wat precies bedoel je met "algemeen toegankelijke Wifispots"?

[Pjotr]

Het lijkt me aan te raden om bij modem-routercombinaties van Ziggo, UPC en KPN, de algemeen toegankelijke Wifispots uit te schakelen. Vermoedelijk zijn de kabelboeren 'n stuk slomer met het uitrollen van de dichtgetimmerde bash, dan de veiligheidsploeg van Ubuntu....

Hoewel wij bij Solcon zitten, toch even deze vraag: wat precies bedoel je met "algemeen toegankelijke Wifispots"?

Dit:
http://www.upc.nl/internet/wifispots/

Ik weet niet of uitschakeling voldoende effect heeft. Maar het lijkt me wel een extra drempel voor Shellshock-aanvallers.... Het is in elk geval iets wat we makkelijk zelf kunnen doen.