Shellshock

  • Endian’ s systems protected from Shellshock


    As you may know, during the last few days a serious bug affecting bash has been discovered. Endian developers already implemented fixes for CVE-2014-6271 and CVE-2014-7169, known as Shellshock.


    Endian’ s systems are therefore protected from any attempt.


    A highly-skilled team made up of developers, quality assurance and technical support is still monitoring the situation. At the moment no attacks to our systems are known.


    Please note that the security fixes are available for Endian customers with active maintenance only. For more information on Endian maintenance and SLA, please consult:


    env x='() { :;}; echo verwundbar' bash -c 'echo das ist ein Test'
    http://de.m.wikipedia.org/wiki/Shellshock_(Sicherheitslücke)

  • Das trifft allerdings nicht auf die Community Edition zu. (getestet mit Version 3.0)


    Mit folgendem Skript kann man seine Endian testen:

    Code
    1. curl -k https://shellshocker.net/shellshock_test.sh | bash


    Im Normalfall sollte bei der Community Edition fast überall "vulnerable" stehen.


    Als "Workaround" kann man die bereits gepatchte bash Version von Oracle Linux 4 installieren:

    Code
    1. rpm -Uvh http://public-yum.oracle.com/repo/EnterpriseLinux/EL4/latest/i386/getPackage/bash-3.0-27.0.3.el4.i386.rpm


    Führt man anschließend das oben genannte Skript nun wieder aus, sollte überall "not vulnerable" angezeigt werden.


    Das ist zwar nicht die "schönste" Lösung, aber da Endian für die Community Edition quasi keine Updates mehr heraus bringt,
    ist das soweit mir bekannt ist der einzige Weg sie gegen Shellshock zu schützen.

  • Ich weiß was ihr jammert ist doch alles gepatcht (bei der 3.0.x version) und seit der 3.0.5 kommen immer schön updates aber nicht über den stable channel.
    gruß
    NORT