vulnerable Problem ... Suse 11.1

[bacci]

Man leute,

ich habe hier niemanden Beleidigen wollen, Sry wenn das so rüberkam, das macht eher Ihr mit mir.

Das tut eigentlich keiner - es gibt durchaus berechtigte Gründe, alte Version am laufen zu haben oder laufen zu lassen.

Nur - dann ein Fass aufzumachen um eine (an sich noch eigentlich relativ harmlose, auch wenn das viele anders darstellen) einzige Lücke zu schließen mit der Begründung "ich wiell keine Lücken haben" und parallel gefühlte 512875 Lücken offen zu haben, die wesentlich relevanter sind - passt nicht zusammen.

Ihr redet davon das ich angeblich x-Sicherheitslücken haben soll ... naja wenn ihr meint ... ihr müsst es ja wissen, Ihr kennt ja meine Server ...
Und Sorry, ich habe doch kein Fass aufgemacht, habe nur gefragt wie ich was machen kann, und dann kamen zu 90% nur Diskussionen wegen allem möglichen ....

Ich bin schon hinterher alle Sicherheitslücken immer sofort zu schliessen wenn welche bekannt werden, darum habe ich eben auch wegen dieser hier angefragt, weil bis jetzt hab ich es meisten alleine hinbekommen es wurden meistens auch gleich eine Lösung mit angegeben die Problemlos funktionierte, diesmal war es etwas anders, darum habe ich euch gefragt ...

Sorry dafür ... werde ich nicht mehr tun ...

Merkt ihr überhaupt das das hier nur noch eine Diskussion ist, aber keine hilfe ...
es ging doch eigentlich nur darum das ich gefragt habe ob mir jemand sagen kann wie ich die Patches einspiele, nun lest mal bitte dieses Thema nochmal, wo sind wir jetzt ?

Bye und ein schönes WE noch ...

 

[nexus]

Ihr redet davon das ich angeblich x-Sicherheitslücken haben soll ... naja wenn ihr meint ... ihr müsst es ja wissen, Ihr kennt ja meine Server ...
Und Sorry, ich habe doch kein Fass aufgemacht, habe nur gefragt wie ich was machen kann, und dann kamen zu 90% nur Diskussionen wegen allem möglichen ....

Ich bin schon hinterher alle Sicherheitslücken immer sofort zu schliessen wenn welche bekannt werden

Die Aussage impliziert, daß du alle 1832 (!) sicherheitsrelevanten Aktualisierungen, die es für die Versionen 11.2 bis 12.2 gab, in deinem System erfolgreich integrieren konntest. Sorry, fällt mir schwer, das zu glauben.

Es geht doch bei der Diskussion garnicht darum, dich zu ärgern oder gar persönlich anzugreifen. Es stellt auch niemand deine Kompetenzen in Frage, denn sonst würden Aussagen kommen wie: 'Schalt den Server ab und miete dir Webspace'.
Es soll doch nur deutlich werden, wie wichtig ein aktuelles System grundsätzlich ist. Unter diesem Aspekt solltest du die Diskussion auch einfach als konstruktive Kritik verstehen und annehmen. Ob und wie du letztlich damit umgehst, ist natürlich ganz alleine deine Sache.

 

[GwenDragon]

@bacci
bash tarball herunterladen
tarball entpacken
Patchdateien vom Septermber herunterladen
Patches ausführen
configure aufrufen um das Makefile für die Kompilierung zu erzeugen
make aufrufen
make install aufrufen

Schau doch bitte mal an:
http://www.linuxfromscratch.org/lfs/view/development/chapter06/bash.html
http://stackoverflow.com/questions/21644870/how-to-compile-bash

Es gibt keine Shelldatei für das automatisiert Kompilieren, weil die Patches sich auf verschiedene Source-Verzeichnisse beziehen. Da musst du Hand anlegen, was bei selbstkompiliertem nicht unüblich sein sollte.

Oder lass dir von jemand hier auf deinem System bash kompilieren.

Wenn du sagst, du schließt immer alle bekannt werdenden Sicherheitslücken in deinem Alt-SuSe, wirst du auch wohl mal den Kernel oder sonstwas mit C kompiliert haben. Da solltest du patch doch kennen.

 

[Whistler]

Es gibt keine Shelldatei für das automatisiert Kompilieren, weil die Patches sich auf verschiedene Source-Verzeichnisse beziehen. Da musst du Hand anlegen, was bei selbstkompiliertem nicht unüblich sein sollte.

Doch, das geht:

Du brauchst eine passige RPM-Build-Umgebung (wie man die aufbaut, steht im Handbuch).

Anschließend

• cd /usr/src/packages/SRPMS
• rpm -i bash-3.2-141.10.src.rpm
• cd /usr/src/packages/SOURCES
• tar -xjf bash-3.2-patches.tar.bz2
• cd /usr/src/packages/SOURCES/bash-3.2-patches
• wget -N -nd http://ftp.gnu.org/gnu/bash/bash-3.2-patches/bash32-052
• wget -N -nd http://ftp.gnu.org/gnu/bash/bash-3.2-patches/bash32-053
• wget -N -nd http://ftp.gnu.org/gnu/bash/bash-3.2-patches/bash32-054
• cd /usr/src/packages/SOURCES
• tar -cjf bash-3.2-patches.tar.bz2 bash-3.2-patches
• cd /usr/src/packages/SPECS
• vi bash.spec - Versionsnummer ändern, z.B. in 3.2-141.10p
• rpmbuild -ba bash.spec
• cd /usr/src/packages/RPMS/x86_64 (oder i586, je nach Architechur)
• sudo rpm -U bash-3.2-141.10p.src.rpm

 

[GwenDragon]

Ziemlich viel Aufwand für jemand, der keine Packages pflegt, nur um ein gepatchtes bash zu installieren.
Aber das muss der Fragende selbst entscheiden was einfacher/schneller ist.

 

[Whistler]

Der Vorteil dieser Methode ist einerseits, daß man die Bash nicht "am Paketmanager vorbei" installiert, sondern eine sauber gepflegte Abhängigkeitsverwaltung hat.

Andererseits - und vermutlich wichtiger - ist, daß man nur so die von SuSE inegrierten Patches und Build-Optionen erhält und z.B. alles in die richtigen Unterverzeichnisse installiert.

Und schlußendlich erhält man so ein komplett installationsfähiges RPM, das man freundlicherweise auch noch anderen Usern zur Verfügung stellen bzw. einfach auf weiteren Servern mit dem gleichem Softwarestand ausrollen kann.

 

[GwenDragon]

Wenn man das auf mehrer Servern installieren will, ist natürlich ein rpm-Package sinnvoll mit den SuSE-Original-Sourcen.
Was der Fragende will, ob nur mal eben auf einem Server patchen oder ein Rollout auf mehreren Servern wissen wir ja nicht.

 

[bacci]

als erstes vielen Dank für eure Hilfen und Mühe,
das dürfte passen. die RPM-Build Geschichte finde ich sehr interessant da wie Whistler schon schreibt:

Der Vorteil dieser Methode ist einerseits, daß man die Bash nicht "am Paketmanager vorbei" installiert, sondern eine sauber gepflegte Abhängigkeitsverwaltung hat.

Andererseits - und vermutlich wichtiger - ist, daß man nur so die von SuSE inegrierten Patches und Build-Optionen erhält und z.B. alles in die richtigen Unterverzeichnisse installiert.

Das muss nur auf den Suse 11.1 Server, der CentOS Server ist ja aktuell.

also hiermit nochmal vielen Dank, das dürfte ich so hinbekommen

lG.bacci

 

[4n0nx]

[senf]Nach Änderung der Ports sehe ich auf meinen Servern wirklich überhaupt keine Fremdzugriffe.

Was ist an einer Neuinstallation so schwer? Schließlich braucht man sowieso ein Backup in Falle eines Ausfalls. Dass keine Distribution mit längerem Supportzeitraum gewählt wurde, ist meiner Meinung nach schon eine grobe Verfehlung.

Vermutlich ist der Server des TE's nicht einmal anfällig für Shellshock, dafür aber für eine Menge andere Sicherheitslücken.[/senf]

 

[nexus]

Was ist an einer Neuinstallation so schwer?

Garnichts...Eine Neuinstallation eines OS ist in relativ kurzer Zeit erledigt.
Ich denke mal (und der TO hat es ja auch schon angedeutet), daß es in diesem Fall nicht um das OS geht, sondern um Usersoftware, die unter einem neueren OS möglicherweise nicht mehr laufen würde. Denkbar wäre z.B. ein spezielles CMS oder ein Shopsystem, welches mit neueren PHP-Versionen Probleme macht oder halt ähnlich spezielle Konstellationen.

 

[nextmx]

Ich habe es jetzt bei einem OpenSuSE 11.1 System geschafft. Einfach die Bash 4.3 runterladen und dann alle Patches nacheinander mittels patch -p0 anwenden.
Danach nochmal erstellen und mit make install installieren. Läuft.

Hier der Download der von mir gepatchten Version bis Patch 30 (05.10.2014): bash43-patched.tar.gz

Einfach Entpacken, mit

./configure

fürs eigene System konfigurieren, dann

make

und wenn dies erfolgreich war

make install

Fertig!

 

[nexus]

Hier der Download der von mir gepatchten Version bis Patch 30 (05.10.2014): bash43-patched.tar.gz

Jetzt bitte nicht falsch verstehen, aber dein gepatchtes File darf man nicht als vertrauenswürdig ansehen.
Besser wäre hier die Verlinkung der Originalquellen (vllt. noch mit ergänzenden Hinweisen, wie richtig zu patchen ist).

 

[nextmx]

Das Archiv enthält alle Patches mit den Signaturen. Aber ich verstehe was Du meinst.

Hier das Originalarchiv: http://ftp.gnu.org/gnu/bash/bash-4.3.tar.gz

Und die Patches (alle nacheinander einspielen) findet man hier: http://ftp.gnu.org/gnu/bash/bash-4.3-patches/

Einspielen der Patches mit

patch -p0 < bash43-XXX

Das XXX steht für die Patchnummer, 30 sind es insgesamt.

Wenn man alles erledigt hat, ist das Verfahren genauso wie mit meiner zur Verfügung gestellten Datei.


Ich möchte aber auch einmal sagen, dass ich es gelinde gesagt Arm finde, dass bei den ganzen Experten hier, nicht einer diese Hilfestellung geleistet hat.

 

[bacci]

Vielen Dank für die Mühe

@nextmx

vielen Dank für die Mühe und gute arbeit

werde es nachher hoffentlich noch schaffen, habe den Server jetzt laufend stillgelegt und nur zu verabredeten Zeiten normal hochgefahren.

Kämpfe mit dem anderen Server immer noch (seit 3 Monaten, von Suse 12.2 auf Centos gegangen wegen dem längeren Support) mit all meinen Sicherheitsmassnahmen, also zumindest mit den Zugriffssperren sonst ist alles o.k.. (CentOS6) und abgesehen von einigen Sachen die auf dem neuen Server nicht laufen, was ich schon Probiert hab auf dem CentOS Server, ein Grund warum ich noch nicht ganz von Suse 11 wegkomme. Zum Beispiel klappt das mit der Plesk Firewall nicht mehr bei Plesk12, ich kann die Ports dort sperren wie ich will, komplett gesperrt komme ich vom heimischen PC nicht mehr drauf, aber vom Handy mit Totalcommander schon.
Eigentlich möchte ich aber bei einigen Ports wie SSH, FTP, Adminpanel usw. nur von einer bestimmte ip zulassen, das klappt aber nicht. (SSH port zum Beispiel ist zwar bereits verlegt, das reicht mir aber nicht, FTP Port sperre ich normaler Weise komplett, was ja aber auch nicht klappt) Bei Suse 11 mit Plesk 10.1.1 klappt dies Problemlos, die gleichen Einstellungen bei Plesk 12 lassen aber einfach den Zugriff zu, egal von wo

>Naja, darum geht's hier bei diesem Thema nicht.

vielen Dank nochmals

lG.bacci

*************************************************************************************************
PS: hat soweit alles geklappt, bin auch gleich auf die 4.3 gegangen und habe nach der Anleitung von Nextmx alle patches gemacht und eben installiert.
Nach

env x='() { :;}; echo vulnerable' bash -c 'echo hello'

kommt jetzt nur ein

hello

Also:

meinserver:~ # env x='() { :;}; echo vulnerable' bash -c 'echo hello'
hello
meinserver:~ #

ist das so richtig ?

Weil mann überall ließt das dort dieses:

bash: warning: x: ignoring function definition attempt

bash: error importing function definition for 'x'

oder ähnlich kommen sollte.

vulnerable wird nicht angezeigt, aber das hello ...

Danke nochmals und allen einen schönen Abend noch

 

[mgoeben]

Doch, das geht:

Du brauchst eine passige RPM-Build-Umgebung (wie man die aufbaut, steht im Handbuch).

Anschließend

• cd /usr/src/packages/SRPMS
• rpm -i bash-3.2-141.10.src.rpm
• cd /usr/src/packages/SOURCES
• tar -xjf bash-3.2-patches.tar.bz2
• cd /usr/src/packages/SOURCES/bash-3.2-patches
• wget -N -nd http://ftp.gnu.org/gnu/bash/bash-3.2-patches/bash32-052
• wget -N -nd http://ftp.gnu.org/gnu/bash/bash-3.2-patches/bash32-053
• wget -N -nd http://ftp.gnu.org/gnu/bash/bash-3.2-patches/bash32-054
• cd /usr/src/packages/SOURCES
• tar -cjf bash-3.2-patches.tar.bz2 bash-3.2-patches
• cd /usr/src/packages/SPECS
• vi bash.spec - Versionsnummer ändern, z.B. in 3.2-141.10p
• rpmbuild -ba bash.spec
• cd /usr/src/packages/RPMS/x86_64 (oder i586, je nach Architechur)
• sudo rpm -U bash-3.2-141.10p.src.rpm

Leider ist nicht damit getan nur die 3 Patches zu installieren, man muss alle fehlenden Patches von 38 - 54 herunterladen und dann einpacken, zusätzlich muss der valgrind Patch aus dem bash.spec auskommentiert werden, da dieser in den anderen Patches bereits enthalten ist.

Das SRPM habe ich übrigens hier gefunden:
http://ftp5.gwdg.de/pub/opensuse/discontinued/source/distribution/11.1/repo/oss/suse/src/

TAGS: opensuse 11.1 bash srpm shellshock

 

[Floezen]

Und falls noch jemand eine einfach Lösung sucht:

Mittlerweile geht das auch ganz automatisiert mit

curl https://shellshocker.net/fixbash | sh

siehe: https://shellshocker.net