Diskussion:Shellshock (Sicherheitslücke)

aus Wikipedia, der freien Enzyklopädie

Kann jemand die Befehlsfolgen erklären? --Quetsch mich aus, ... itu (Disk) 17:25, 27. Sep. 2014 (CEST)

Hat man auf einem Desktop-system /hinter einem Router auch ein Problem? --Quetsch mich aus, ... itu (Disk) 17:25, 27. Sep. 2014 (CEST)

In Golems ausführlichen Artikel stand, dass Router eher einfachere, weniger Ressourcen nutzende Shell zum Einsatz kommen. --Amtiss, SNAFU ? 04:49, 7. Okt. 2014 (CEST)

Unverständlich

Kann jemand diesen Satz "Durch Shellshock können in Variablen Funktionen definiert werden und nach der Variable kann ungeprüft Programmcode ausgeführt werden" (und auch weitere in dem Text) in vernünftiges Deutsch übersetzen? Ich kann gerade erahnen, was gemeint ist. MichaelL2008 (Diskussion) 17:30, 27. Sep. 2014 (CEST)

Jetzt besser? --Lückenloswecken! 21:20, 4. Nov. 2014 (CET)

Fehlermeldung?

Ich bilde mir zwar ein anfangs auch diese besagte Fehlermeldung gesehen zu haben, aber es ist jetzt so dass ich ca. 2 Systeme habe, die mit
env x='() { :;}; echo shellshockverwundbar' bash -c "" bzw. anderen Varianten als verwundbar erscheinen, sowie ca. 5 die nicht verwundbar angezeigt werden, aber auf keinem einzigen bekomme ich eine Fehlermeldung, d.h. wenn nicht verwundbar dann kommt überhaupt keine Ausgabe. --Quetsch mich aus, ... itu (Disk) 21:07, 3. Okt. 2014 (CEST)

Es ist keine Fehlermeldung, siehe Echo (Informatik). Probier einfach mal ein paar andere Test-Varianten aus. Die sehen auch einfacher aus und haben mehr Zeilen. -- Amtiss, SNAFU ? 04:49, 7. Okt. 2014 (CEST)
Wie meinen? Es geht um die Fehlermeldung hier unten beim Entfernten, also " bash: warning: x: ignoring function definition attempt bash: error importing function definition for `x' " --Quetsch mich aus, ... itu (Disk) 17:41, 7. Okt. 2014 (CEST)

Windows-Shell auch betroffen

Auch wenn die Auswirkungen weniger schlimm sind (kein Sicherheitsebenen-überschreitender Fehler, wers ausnutzen kann, konnte es auch schon ohne), sollte erwähnt werden, dass unter Windows ähnliches möglich ist und sicherheitsrelevante Exploits hierfür befürchtet werden: mit Anwendungsbeispielen und Microsofts Reaktion (unwichtig) -- Amtiss, SNAFU ? 04:49, 7. Okt. 2014 (CEST)

Neuere Bugs

  1. 2016-09-16 CVE-2016-7543 bash: Specially crafted SHELLOPTS+PS4 variables allows command substitution

https://access.redhat.com/security/cve/cve-2016-7543 1379630: CVE-2016-7543 bash: Specially crafted SHELLOPTS+PS4 variables allows command substitution

  1. 2015-10-16 CVE-2016-0634 bash: Arbitrary code execution via malicious hostname

https://access.redhat.com/security/cve/cve-2016-0634 1377613: CVE-2016-0634 bash: Arbitrary code execution via malicious hostname

2003:71:EF3D:7FFD:212:79FF:FE3E:B330 18:44, 29. Sep. 2017 (CEST)

Abschnitt 2.2 Server

Hallo, die Angaben im Abschnitt 2.2 Server sind ein wenig dürftig. Sind darin eigentlich die IP-Adresse "0.0.0.0" durch eine konkrete IP-Adresse des (zu testenden) Servers zu ersetzen - oder sollte/muß diese als "0.0.0.0" direkt so stehen bleiben? Das fragt sich Guenni60 (Diskussion) 12:23, 5. Dez. 2018 (CET)

Abgerufen von „https://de.wikiup.org/index.php?title=Diskussion:Shellshock_(Sicherheitslücke)&oldid=212698436