Linux kwetsbaar voor aanvallen van buitenaf

[wowo]

Bepaalde apparaten gebruiken in plaats van de "command processor Bash" "BusyBox".

Mijn router maakt gelukkig gebruik van BusyBox en is daardoor volgens de internet info niet gevoelig voor  Shellshock (CVE-2014-6271).
Volledige veiligheid kan helaas echter nooit gegarandeerd worden.

[MKe]

qnap NAS machines zijn kwetsbaar en QNAP maakt nog geen aanstalten om de patch door te zenden. Een minpuntje dus.

[wowo]

qnap NAS machines zijn kwetsbaar en QNAP maakt nog geen aanstalten om de patch door te zenden. Een minpuntje dus.

Qnap heeft afgelopen zondag nieuwe firmware gemaakt (versie 20140929) waarbij de problemen CVE-2014-6271 en CVE-7169 zijn aangepakt.
Laat onverlet hetgeen vistaus ook al meldde: ondertussen zijn er nog meer bash-problemen opgedoken.
Mijn conclusie is dan ook dat zolang er nog geen definitieve oplossing is, je het beste je NAS onbereikbaar van het internet moet maken. (en daar heb ik mij QNAP helaas ook voor nodig ivm webhosting, Photo en Video Station extern)

NB aan te raden is om je aan te melden voor de nieuwsbrief van de beveiligingsbulletins van QNAP.

[wowo]

Ik heb geen aandelen in QNAP maar meldt hier:
Er is nu weer een fix verschenen zodat CVE-2014-7186; CVE-20147187; CVE-2014-6277 en CVE-2014-6278 aangepakt worden.
Ik beschouw mijn QNAP-NAS nu weer veilig .......
Je moet natuurlijk wel altijd gezond verstand gebruiken hoe je met een NAS omgaat. Backups zijn natuurlijk belangrijk en zeer belangrijke privacy gevoelige zaken versleutelen of niet op je NAS zetten als die van buitenaf benaderbaar is.

[Joris Donders]

Ondertussen gaan de Bash-updates gewoon door: gisteren weer een update goed voor een paar honderd kb .

Ik denk dat dit nog in den treure zal doorgaan.

[Pjotr]

Ondertussen gaan de Bash-updates gewoon door: gisteren weer een update goed voor een paar honderd kb .

Ik denk dat dit nog in den treure zal doorgaan.

Ja, misschien kunnen ze beter die hele onderliggende kwetsbare functie van bash uitschakelen. Net zoals FreeBSD en NetBSD blijkbaar al hebben gedaan:
http://www.infoq.com/news/2014/09/shellshock

FreeBSD and NetBSD have disabled automatically importing functions by default to prevent future vulnerabilities.

[John K]

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

voer ik dit in de terminal in?

ik krijg als output; ~$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
this is a test

[Bloom]

Dat is correct en je systeem is dus veilig.

[Vistaus]

http://www.esecurityplanet.com/open-source-security/why-all-linux-security-bugs-arent-shallow.html