• This forum has a zero tolerance policy regarding spam. If you register here to publish advertising, your user account will be deleted without further questions.

vulnerable Problem ... Suse 11.1

bacci

Member
Hallo,

habe wie oben schon zu erahnen, auf meinem V-Server anscheinend auch das Sicherheitsproblem.

Auf:
Code:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

kam die Antwort:
Code:
vulnerable
this is a test

Nun bitte nicht meckern, (ist nicht zielführend) ich weiss das openSuse 11.1 nicht mehr supportet wird, weshalb ich auch keinen Patch erhalte.

Daher auch meine Frage:

Kann ich bei Suse 11.1 dennoch irgendwie die nötigen Patches einspielen oder welchen weg gibt es evtl. das Sicherheitsproblem bei 11.1 zu lösen und wenn es einen gibt, was muss ich machen ?

vielen Dank und noch einen schönen Abend .... bacci
 
a) probieren eine fertige /bin/bash die gepatcht ist zu starten und hoffen das du alle nötigen libs hast, oder
b) bash aus dem Source selber bauen, mit etwas glück ists mit einem "make" Aufruf getan.

Thomas
 
und wie mach ich das ?

Vielen Dank erstmal für die Antwort :)

so wie ich das verstehe wäre Version b die Vielversprechendste, aber wie mache ich das ??

oder zu a, wo bekommt man diese ?

Dank und lG. bacci
 
a) aktuelles suse auf ne vm, patchen, bash runterkopieren,
b) google suche nach bash source, oder mit der vm von a) ein "apt-get source bash" (so wäre zumindest das kommando um unter ubuntu über den paketmanager den aktuellen bash source zu holen. rein in den ordner, make tippen und hoffen das ne bash rauskommt. evtl brauchst die devtools (gcc, make, ...)

Thomas
 
Nun bitte nicht meckern, (ist nicht zielführend) ich weiss das openSuse 11.1 nicht mehr supportet wird, weshalb ich auch keinen Patch erhalte.

Sorry, aber das Einzige, was nicht zielführend ist, ist ein System im Netz online zu haben, was aufgrund fehlenden Security-Supports angreifbar ist.
Damit riskierst du nicht nur, daß deine Kiste übernommen wird, sondern du machst im Fall einer Übernahme deines Systems auch vielen anderen Admins zusätzliche (und vor allem unnötige) Arbeit, wenn deren Server von deiner Kiste aus z.B. mit Spam zugemüllt oder anderweitig angegriffen werden.
Da hilft auch ein Rumgefrickel an der bash nix, wenn es zig andere Angriffsvektoren gibt.

welchen weg gibt es evtl. das Sicherheitsproblem bei 11.1 zu lösen und wenn es einen gibt, was muss ich machen ?

Distribution upgraden.
 
Last edited by a moderator:
Danke :)

@ThomasChr

Danke für deine Tipps ...

Habe auf https://ftp.gnu.org/gnu/bash/ die Patches gefunden.

ein
Code:
echo "$BASH_VERSION"

auf meinem Server bringt mir
Code:
3.2.39(1)-release

auf https://ftp.gnu.org/gnu/bash/ finde ich nun aktuelle Patches für Bash 3.2 nur wie spiele ich diese ein ?!

Dateien sind bash32-052 und bash32-052.sig


@Nexus

wenn ich mich nicht um mögliche Baustellen kümmern würde wäre ich wohl kaum hier oder ?! Der Server hat unter anderem verlegte Ports, Fail2ban wie auch Zugriffserlaubniss auf alles Sicheheitsrelevate nur von einen sehr kleinen IP-Bereich aus.
Denke schon das einiges getan wird für den Server ... niemand ist Perfekt, aber ich gebe mir mühe ...

Distribution upgraden
sind damit die Server Pepos gemeint ?

lG. und Danke, bacci
 
Denke schon das einiges getan wird für den Server ... niemand ist Perfekt, aber ich gebe mir mühe ...

Grundsätzlich ist es ja gut, daß du dir Mühe gibst, dich um den Server zu kümmern, aber...
Die Version 11.1 ist seit 31.12.2010 (also seit fast vier Jahren!) EOL. Seitdem haben weitere fünf Versionen (11.2 bis 12.2) ebenfalls ihr EOL erreicht. Allein für diese fünf Versionen gab es über 1800 sicherheitsrelevante Aktualisierungen (guckst du hier) und selbst wenn du dich noch so sehr bemühst, kann ich mir nicht vorstellen, daß du diese ganzen Sicherheitslücken stopfen kannst bzw. konntest.

Davon abgesehen machst du dir deine Arbeit doch unnötig schwer. In der Zeit, die du jetzt allein für das bash-Gefrickel brauchst, hast du vermutlich das System mit der aktuellsten Version komplett neu aufgesetzt und könntest dich entspannt zurücklehnen ;)
 
Danke GwenDragon,

Du musst mit patch die Sourcedateien ändern und bash neu kompilieren.

und wie mache ich das ??

@Nexus

In der Zeit, die du jetzt allein für das bash-Gefrickel brauchst, hast du vermutlich das System mit der aktuellsten Version komplett neu aufgesetzt und könntest dich entspannt zurücklehnen...

leider nicht, es geht nicht um das System, sondern um das was drauf ist.

Dennoch Danke für deine Bemühungen
 
Da ich grad unterwegs bin kann ich grad schlecht nach ner Anleitung suchen... Die sourcen sind prinzipiell ja nur Textdateien die mit "make" in binärdateien umgewandelt werden, du musst nur davor den Patch anwenden, in diesem steht drin welche Zeilen aus dem Quelltext sich geändert haben.

Im allgemeinen ist es natürlich sicherer (und am Ende auch besser und sicherlich lehrreicher) das System ganz neu aufzusetzen, aber bei einem alten und verhunztem System kann es doch etwas dauern bis man erfasst hat was da alles drauf ist und was auf dem neuen System unbedingt von Anfang an gehen muss.

Ein älteres System ist zwar immer unsicherer, aber ich persönlich denke dass sich die Gefahr in Grenzen hält wenn man genau weiß welche Dienste nach drausen gehen und diese entsprechend abgesichert und aktualisiert hat...

Thomas
 
Ich empfehle ein Systemupdate.
Wer nicht weiß wie mit einem C-Compiler und diversen Patchtools umzugehen ist, erzeugt eher Schaden am System.
 
naja , beim compilieren (oder rüberkopieren) der bash executable kommt entweder was raus was ziemlich offensichtlich geht oder ziemlich offensichtlich nicht geht... denke ich zumindest.

Das Neuinstallieren besser ist, ist sicherlich allen klar, aber so ein "historisch gewachsenes" System mit allen seinen Funktionen so neu aufzusetzen dass alleß wie vorher geht ist mal nicht so schnell gemacht (wie war nochmal das Passwort von diesem sechs Jahre alten Mailaccount den der Server im dritten Kellerraum von links zum mailen seiner Statusmails hat?) und am Ende muss man auch noch dem Chef klar machen warum dieses und jenes "plötzlich" anders ist...
 
Danke für deine Mühe Yago, leider ist die aber noch nicht gepatcht, ist vom Februar.

Die Patches für meine 3.2 sind aber schon aktuell, weiss nur nicht genau wie ich diese Patche ...

Habe zwar für Apple was, kann das aber nicht auf Suse umsetzen.

Das bei Apple wäre so:

Code:
$ mkdir bash-fix
$ cd bash-fix
$ curl https://opensource.apple.com/tarballs/bash/bash-92.tar.gz | tar zxf -
$ cd bash-92/bash-3.2
$ curl https://ftp.gnu.org/pub/gnu/bash/bash-3.2-patches/bash32-052 | patch -p0
$ curl https://ftp.gnu.org/pub/gnu/bash/bash-3.2-patches/bash32-053 | patch -p0
$ cd ..
$ xcodebuild
$ sudo cp /bin/bash /bin/bash.old
$ sudo cp /bin/sh /bin/sh.old
$ build/Release/bash --version # GNU bash, version 3.2.53(1)-release
$ build/Release/sh --version   # GNU bash, version 3.2.53(1)-release
$ sudo cp build/Release/bash /bin
$ sudo cp build/Release/sh /bin

Das curl wohl wget bei mir ist ist mir schon klar, aber was ist die "bash-92.tar.gz" bei mir?
Ist das die originale, also bei mir dann diese: https://ftp.gnu.org/gnu/bash/bash-3.2.tar.gz ?

Naja, jedenfalls hatte ich mir solch eine Anleitung erhofft ...

Danke euch für eure Mühen, leider muss der Server noch bis ca. Mai 2015 durchstehen und da ich keine Sicherheitslücken darauf mag, wollte ich das (mit eurer hilfe) so lösen, dachte mir das ich so auch noch ein paar Kleinigkeiten lernen kann, aber nichts versauen will , frage ich dann lieber nach einer Anleitung wie der oben.

die aktuelle für die 3.2 sind von gestern:

Code:
bash32-053              26-Sep-2014 17:04  1.1K  
bash32-053.sig          26-Sep-2014 17:04   72

lG. und Danke ... bacci
 
Last edited by a moderator:
Danke euch für eure Mühen, leider muss der Server noch bis ca. Mai 2015 durchstehen und da ich keine Sicherheitslücken darauf mag
Sorry, aber bei einem System, welches seit mehreren Jahren nicht mehr mit Updates versorgt wird ist die Bash-Lücke Dein kleinstes Problem.

... und bei Deinen Fragen ist recht gut ersichtlich, daß Du die anderen relevanten Sicherheitsupdates sicherlich auch nicht manuell eingespielt hast.

Vor allem - ok, das kommt Dir ein wenig entgegen - ist bei der Bash-Lücke sogar recht gut abschätzbar, ob das in Deinem Fall überhaupt relevant ist und ggf. lässt sie sich auch noch recht einfach vermeiden, selbst ohne die Bash zu aktualisieren.
 
Last edited by a moderator:
Ich verstehe auch nicht wieso du noch so eine uralte Version am laufen hast. :confused:

Wenn EOL wirklich vor vier Jahren war, dann kann es ja wohl nicht daran liegen, dass man nicht genug Zeit gehabt hätte mal die aktuellste Version zu installieren.

Virtuelle Maschine zu Hause einrichten und da das "Upgrade" durchspielen um das dann anschließend auf deinem Server durchzuziehen.

Wenn du dir keine/kaum Downtime leisten kannst, hättest du in der Zeit auch einen zweiten vServer mieten können mit aktuellem Betriebssystem, dort alles eingerichtet und dann auf diesem "umgeschaltet". Den alten vServer dann gekündigt.

Wäre jedenfalls das Letzte, was mir passieren würde, dass ich da noch eine Version am laufen habe, die EOL ist.
 
Ich verstehe auch nicht wieso du noch so eine uralte Version am laufen hast.

Warum gehen hier immer alle davon aus das älter gleich Shit ist ... Wie alt seid Ihr, seid Ihr auch veraltet.

Ich bedanke mich hier bei allen die ernsthaft versucht haben zu helfen ...

an alle andern:

Vielleicht schon einmal darüber nachgedacht, dass man dabei was lernen könnte, wenn man richtige Antworten bekommt. Ein System zu haben, heisst nicht es Ständig neu zu machen, sondern auch zu wissen wie mann es wartet ohne immer gleich alles neu zu machen.

Aber egal, früher hat man hier echte hilfe bekommen ... Schade eigentlich, diese Diskussionen sind nachher wenn jemand anderes so etwas mal sucht keine Hilfe, man ließt nur hunderte von Seiten und immer sind dann solche Diskussionen und keine Lösung und dann wird man oft noch vollgeschnauzt man solle doch mal Google bemühen... hat man, nur vor Diskusionen wird das Thema eben oft undurchschaubar ....

Naja, allen noch ein schönes WE ...

ENDE !!!!
 
Warum gehen hier immer alle davon aus das älter gleich Shit ist ... Wie alt seid Ihr, seid Ihr auch veraltet.
Wenn die sachlichen Argumente ausgehen, kommen die Beleidigungen...

Vielleicht schon einmal darüber nachgedacht, dass man dabei was lernen könnte, wenn man richtige Antworten bekommt.
Die einzig richtige Antwort ist: Aktualisiere dein System!
Das Allerwichtigste, was du lernen mußt, ist die Tatsache, daß man bei einem Server das System immer möglichst aktuell halten sollte.

Ein System zu haben, heisst nicht es Ständig neu zu machen, sondern auch zu wissen wie mann es wartet ohne immer gleich alles neu zu machen.
Das ist keine Wartung, wenn du eine Lücke stopfst und hunderte anderer Lücken offenbleiben.
Außerdem geht es nicht um 'ständig neu machen'. Deine Distri hat eine Lifetime von 26 Monaten ab Erscheinen der aktuellen Version. Also genügend Zeit, kurz vor Ende der Lifetime das Upgrade vorzubereiten und dann durchzuführen.
 
Warum gehen hier immer alle davon aus das älter gleich Shit ist
Das tut eigentlich keiner - es gibt durchaus berechtigte Gründe, alte Version am laufen zu haben oder laufen zu lassen.

Nur - dann ein Fass aufzumachen um eine (an sich noch eigentlich relativ harmlose, auch wenn das viele anders darstellen) einzige Lücke zu schließen mit der Begründung "ich wiell keine Lücken haben" und parallel gefühlte 512875 Lücken offen zu haben, die wesentlich relevanter sind - passt nicht zusammen.
 
Back
Top