Besteht die Lücke denn auch noch in Yosemite? Sprich sind Macs mit der Developer oder öffentlichen Beta auch betroffen?

Ja, bei mir besteht die Lücke in der Yosemite Beta ebenfalls!

Hier (10.9.5) ist's nicht da...

Jup - meine Softwareaktualisierung auf MacOS 10.9.5 weiss ebenfalls nichts von einem Update. Gibt's 'nen Downloadlink?

Meine Güte...ruhig...
Die Aktualisierung kommt schon noch. Ein bisschen Geduld.
Es ist ja jetzt nicht so, dass hier alle plötzlich ungeschützt im Internet stehen...100% der Kommentatoren hier sind doch eh nicht betroffen. Da kann man doch auch noch die Stunde abwarten, bis der App-Store das anzeigt...

ich habs mir für 10.5, 10.6 und 10.9 selber kompiliert habe jetzt die neueste Bash mit allen Pasches druff...und das geht

fox_rc
Danke für das Zitat mit dem Test.

MTN:
Diesen Test hätte ich im Artikeltext erwartet.

Hier in Mitteldeutschlnd gibt es noch kein Update, weder für 10.7.5 oder 10.9.5. Dauert wohl noch.

Soleil
Dann könntest Du ja das Update für 10.5 und 10.6 anbieten, immerhin etwas das Apple nicht schafft

@o.wunder
Dieser Test war schon im Originalartikel vorhanden. Der Link dazu ist auch hier im Artikel angezeigt.

Hallo Leute,

Hier gibt es den Patch für 10.9.5 http://support.apple.com/kb/DL1769

Gruss
Luxer

naja wenige Nutzer....definitionssache, bei mir sind alle 4 macs verwundbar. ein desaster nach dem anderen, nicht schlimm, nervt, macht unnötige Arbeit, erst die iphones, ipod, ipads mit ioas und jetzt osx, das wäre alles unter steve nicht passiert bzw. wenn doch würden die Herausgeber schon ihr rückflugticket haben und bereits im flieger sitzen....es geht bergab. so so so schade

so viel schmarrn auf einmal und das auch noch um die uhrzeit...?

Für alle die evtl. noch mit OSX 10.6.x arbeiten gibt es einen inoffiziellen patch. Da ich selbst noch zwei OSX 10.6 Webserver habe, konnte ich diese Methode dort testen und es funktioniert ohne Probleme.

http://www.macissues.com/2014/09/25/how-to-unofficially-fix-the-shell-shock-bash-vulnerability-in-os-x/

Allerdings muss Xcode 3.2.6 auf dem Rechner Installiert sein damit man das neue Bash Binary erzeugen kann. Ich denke mir hier wissen alle wie man an Xcode kommt.

LG Stefan

…10.6?

Nein, nicht mehr unterstützt.

Das weiss ich auch. Trotzdem wäre es gut den Test direkt noch in diesem Artikel zu haben, nun ja, egal jetzt.

Das Update ist hier in D eh noch nicht da.

Blödes Gerede. Softwarelücken und -Fehler hat es immer gegeben, auch unter Steve Jobs und sich die Entwickler zu vergraulen, macht auch keinen Sinn. Irgendwann sind dann alle guten Entwickler weg und die Guten gehen immer zuerst!

Hatte gestern Abend die drei Updates schon hier verlinkt:

Apple hat wieder nur halbe Sachen gemacht (meine persönliche Meinung!). Die Lücke besteht auch in der öffentlichen Beta 3. Einfach mal im Terminal

bash --version

eingeben. Dann kommt sowas raus wie Bash 3.2.xx Diese Version ist angreifbar bis zu Version 3.2.53 und grösser. Die kann man, wenn XCODE installiert ist und man Terminalbefehle aus dem Browser in das Terminalfenster pasten kann, selber patschen. Eine, wie ich finde gute Anleitung ist hier zu finden

http://mac-how-to.wonderhowto.com/how-to/every-mac-is-vulnerable-shellshock-bash-exploit-heres-patch-os-x-0157606/

Es wird sogar sichergestellt, das die alte bash Version gesichert wird aber nach dem Patch eben nicht mehr aktiv.

Bei Yosemite hoffe ich einfach drauf das Apple in einer weiteren Testversion, oder in der GM, das Problem beseitigen wird. In der Zwischenzeit können die, die sich das zutrauen, eben selber alle Versionen gegen dieses Übel rüsten.

Nebenbei bemerkt, die aktuelle Version der Bash Shell ist 4.3.
Apple weigert sich eine moderne Version mitzuliefern, weil die Bash ab v 3.3 unter der GPL 3 Lizenz läuft.
Die letzte Bash unter GPL 2 ist eben die Version 3.2. Diese ist von 2006.
Yosemite wird also im Herbst 2014 mit einer 8 (in Worten acht) Jahre alte Bash ausgeliefert.

Erstens: Das oben beschriebene Testkommando ist nicht ausreichend. Im Rahmen des Shellshock-Aufruhrs wurden schon am Freitag und Samstag zwei Lücken aufgedeckt, das obige Kommando testet nur die erste der beiden (unter Linux gab es auch zwei Patches). Der korrekte Test ist (VORSICHT, Zeilenumbruch gehört da keiner rein!):
Hierbei darf nicht das aktuelle Datum ausgegeben werden.

Korrekte Ausgabe (gepatchter Bug):

Inkorrekte Ausgabe (Bug nicht gepatcht):

Zweitens: Der von Apple auf den Download-Seiten bereitgestellte Patch patcht beide Fehler (CVE-2014-6271 und CVE-2014-7169). Es sind mittlerweile einige weitere mögliche Fehler gefunden worden, die bislang nicht gepatcht sind, aber diese sind deutlich schwieriger auszunutzen, wenn überhaupt (siehe unten). Die Patches sind leider noch nicht verfügbar, auch nicht z.B. für RHEL und Konsorten.

Drittens: Wie schon mehrfach von anderen erwähnt dürfte der Fehler auf den ca. 99% nur als Client betriebenen Macs überhaupt keine Auswirkungen haben. DHCP als Einfallstor fällt laut verschiedenen Quellen aus, da Apple vom DHCP-Client aus keine Shell startet. Wer keine Serverdienste auf seinem Mac laufen hat, kann einigermaßen ruhig schlafen.

Vietens: Das ganze hat absolut nichts mit Steve oder nicht Steve zu tun, unsinniges Geschwätz dieser Art bringt niemanden weiter. Auch ein Steve Jobs hätte einen Bug vom Schlage Heartbleed oder Shellshock nicht vorab erkannt und im Alleingang verhindert (er hätte die Gelegenheit übrigens gehabt, Shellshock war auch zu seinen Lebzeiten schon fast volljährig). Schnellstmöglich patchen und gut.

GPL 3 war doch auch der Grund warum Apple SMB selber programmieren musste. Erinnere mich noch gut an die Probleme ab Lion.

Was könnte die Open-Source-Bande in Zukunft noch unter GPL 3 stellen um mir meinen Nutzererlebnis und Sicherheit am Mac zu vermiesen?

Apfelbutz:
Jetzt bin ich aber mal gespannt, inwieweit die bash in der Version 3 Dir Dein Nutzererlebnis und die Sicherheit Deines Macs vermiest.

Und zu Deiner Information, falls Du an Information interessiert bist: bash 4 hatte den Fehler auch.

Auf dem Tenfourfox developement Blog gibt es eine Anleitung, welche drei Bugs patched.

Für Download schaut mal hier: http://support.apple.com/downloads/
Aber was mache ich als Nutzer von Topix? Offiziell ist Topix erst für 10.9.4 freigegeben. Der Patch geht aber erst ab 10.9.5

Topix Support Seite

WAS macht der gemeine 10.6.8 user, der des Unix nicht mächtig ist?

Woher mutest du Dir eigentlich mit deinem Unwissen an solche Dinge zu sagen ?!?

Man merkt wie diese Webseite leider verkommt.

Samba ist ein gutes Beispiel warum man switchte. Man war es einfach leid sich mit ständigen Bugreports zu ärgern die durch unzählige OSX Bugs hervorgingen.Apple schafft es einfach nicht ihre Documentationen up2date zu halten bzw. zum Codetausch beitragen wollen. Ganz zu schweigen Probleme durch "Workarounds" erst einmal zum laufen zu bekommen. Apple will nichts anderes als sich bei Projekten bedienen und dann in ihrer glänzenden OSX Box verkaufen.
Apple begreift langsam das sie mit ihrer agressiven Art nicht weit kommen. Schonmal geschaut wie oft Code in den BSD Kernel geht (genau nahezu gegen null) ?
Mit Clang & LLVM fängt man langsam an Alternativen zu schaffen und sich mehr und mehr von restriktiven Anwendungen und Lizenzen zu trennen.

Ständig dieses kindische Geschrei hier auf dieser Webseite und Kommentaren. Es kommen einem die Tränen wenn man in Sachen OSX sich in der Mittagspause auf Blackhat und Rixstep rumtreibt.

Wer zwingend auf neue Samba Versionen angewiesen ist, wird jawohl sein eigenes Ding drehen können. Macports bietet alle tools und man selber wird es doch wohl hinbekommen die Dienste zu tauschen.

Das Apple es auch mit der Security nicht so genau nimmt, sieht man auch schon das man wichtige Anwendungen wie TrustedBSD einfach aus dem Programm nimmt und die Apple Security Guides werden auch schon seit Jahren nicht mehr gepflegt. Aber hey...Apple rocks und macht das schon (irgendwie)

Ich finde es ziemlich armselig von Apple solche krassen Bugs nicht auch in Snow Leopard zu beheben, wo doch noch so viele Leute das einsetzen …

Was mir derzeit nicht klar ist: Wie sieht es mit lokalen Applikationen aus?

Das exportieren von Umgebungsvariablen dürfte da doch kein Problem sein?

Gruß,
Jörg

Sehe ich auch so.

Tja, Apple teilt nicht gerne, ist am liebsten immer der Monopolist an einer Sache, siehe jüngster Fall PayPal und ne 6 Jahre alte Bash auszuliefern, nur weil einem die GPL nicht passt, spricht Bände. Sie nehmen nur und geben nix. iMessage sollte mal Open Source werden, sagte noch Steve Jobs am Anfang der Entwicklung, aber nichts ist draus geworden. Sehr schade.

Übrigens, sehe ich das richtig, dass der Fehler bei normaler Nutzung von OS X nicht zum Tragen kommt?
Welche Dienste muss man freischalten, damit die Bash aus dem Internet angesprochen werden kann?