Beveiligingsupdate Red Hat voor bash-lek incompleet
Een beveiligingsupdate die Red Hat voor het ernstige bash-lek uitbracht is niet compleet, zo hebben de ontwikkelaars laten weten. Gisteren werd bekend dat een lek in bash, dat in de meeste op Unix-gebaseerde besturingssystemen zoals Linux en Mac OS X aanwezig is, een aanvaller kwetsbare systemen in bepaalde gevallen laat overnemen.
Red Hat kwam hierop met een update, maar die blijkt het probleem niet helemaal te verhelpen. "Een aanvaller kan speciaal geprepareerde omgevingsvariabelen met willekeurige commando's opgeven die in bepaalde omstandigheden op kwetsbare systemen worden uitgevoerd", aldus Red Hat. Het nieuwe probleem heeft ook een nieuw CVE-nummer gekregen, te weten CVE-2014-7169. Het oorspronkelijke bash-lek staat bekend als CVE-2014-6271. Red Hat werkt nu aan een nieuwe update. In de tussentijd is er een 'workaround' gepubliceerd.
https://www.security.nl/posting/403232/Ernstig+lek+in+Linux%2C+Mac+OS+X+en+Unix+ontdekt#posting403237.
bash is default niet aanwezig in unix. alleen BSD, Mac os X en Linux.
bash is default niet activeerbaar van buiten het systeem.
alleen webservers (of andere software) die anonieme access toestaan, EN bash gebruiken als programmeertaal zijn
kwetsbaar.
de meeste professionele sites draaien php, java e.d.
bash gebruiken als je website programmeer taal was en is niet echt recommended, de laatste 20 jaar.
De vergelijking met heartbleed is dan wel heel erg scheef:
heartbleed gaat over SSL, een component die er ALLEEN maar is om security te bieden. Die pretentie heeft Bash nooit gehad, en is ook niet bedoeld als web-programmeertaal.
Heartbleed maakte ELKE server die SSL gebruikte kwetsbaar.
van alle systemen met bash is dat zeer zeker niet het geval.
Last but not least; kopieer de KSH gewoon over de bash en de sh heen, dan is het probleem weg. 100% zeker. wat er niet is kan ook niet stuk gaan, he.....
werkt prima met mijn linux, dus de uwe zal het ook wel kunnen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.