Super cool. Ich bin verwundbar.

Nicht dass ich denke, dass ich Opfer eines Angriffs werde, aber so langsam fangen die täglichen Negativmeldungen rund um iOS, Hardware und nun auch OSX an zu nerven.

Man verschwendet ja wirklich bald mehr Zeit, um sich um sein eigenes Wohl und die Sicherheit zu kümmern, als mit den Devices selbst wirklich zu arbeiten. Gerade deshalb bin ich jedoch auf die Apple-Seite gewechselt - um diesen Stress, wie man ihn von anderen Plattformen kennt, einfach mal ausblenden zu können.

10.10 DP8 / b3 - verwundbar not amused

Das solltest du nicht so wild sehen. Dieser einen möglichen Sicherheitgefährdung stehen quasi unendliche Sicherheitsfehler auf anderen Systemen gegenüber. Dort kann dein System bereits in die Knie gehen wenn du nur ne Website öffnest oder eine Email bekommst, die du nichtmal öffnen muss um die was einzufangen.

Mit dem Unterschied, dass man es auf anderen Plattformen schon fast gewohnt ist. OSX glat bisher immer als besonders sicher und zuverlässig. So wie die gesamte Apple-Welt und ihre Produkte. Dieses Image wurde in den vergangenen Tagen stark gedämpft. Bin gespannt was als nächstes kommt. Bei einer Firma, welche mit hardwarenaher Entwicklung und besonderen Sicherheitsmerkmalen wirbt, darf sowas meiner Meinung nach nicht passieren - zumindest nicht in der Quantität der letzten Woche.

Läuft eigentlich auf den ganzen Unix basierten Tablets und Phones (iOS, Android & Co.) standardmäßig auch eine bash Shell?

@ ExMacRabbitPro
Nur Geräte mit Cyanogenmod, die bash statt der Shell von Busybox nehmen.

Nun, dieses spezielle Problem existiert wohl potentiell auf allen Unix basierten Systemen auf denen eine bash Shell läuft. Jedes NAS, jedes Smart TV, jede OS X/Unix/Linux installation auf allen möglichen Devices, von der Smartwatch über Raspberry PI, SmartTV, Router, Desktops, etc... etc... sind potentiell betroffen.

Man kann nur hoffen, dass Apple das Problem schnell behebt. Einige Linux Distro-Anbieter haben die Lücke bereits geschlossen..... go Apple go!

es besteht überhaupt keine gefahr für den eigenen rechner solange man darauf keine serverdienste anbietet.

das problem besteht nur wenn auf den geräten auch serverdienste ausgeführt werden und diese dann auch noch so schlecht programmiert sind dass man diese zusammen mit dem bash-bug ausnutzen kann. für die normale OS X maschine besteht also überhaupt keine gefahr.

übrigens: apple wird da auch nichts ändern dran denn die verweigern sich gegenüber der GPL3.
deshabl ist auch eine uraltversion (3.2.x) von bash in OS X dabei und nicht die aktuelle 4.2.x
das ist aber auch relativ egal.

Tja, gewöhn dich dran. Je poulärer Apple wird desto größer werden diese Problem. Der einzige Grund warum das bisher nicht so war ist, das Apple Produkte für Hacker uninteressant waren aufgrund der geringen Verbreitung. Nicht weil es so sicher ist wie es immer behauptet wurde. Gleiches gilt für Linux.

OS X in Gefahr: Bildzeitungsheadlinestil - finde ich nicht gut.
Danke an ExMacRabbitPro für die Richtigstellung.

Betrifft große Teile der Unix / BSD / Linux Welt, das Risiko wird mE völlig überbewertet - typischer Medien / Blog-Hype: "Oh eine Sicherheitslücke... und Apple!!!"

die verbreitung von iOS war/ist doch nicht so gering!?

Meiner Meinung hat das nichts mit dem Benkanntheitsgrad zu tun. gut, dieses Problem liegt nicht zwangsläufig in Apples Hand, andere Bugs oder Materialfehler diese Woche shcon. Ich kaufe Apple als "Premiummarke" doch gerade deshalb, damit ich als Kunde ein langlebiges, sicheres Produkt in meinen Händen halte, und daran ändert sich nichts, wenn dies neben mir nur 100 Millionen sondern gar 300 Millionen Kunden tun.
Solche Fehler in Verarbeitung und Software dürfen bei solch hochpreisigen Geräten und den damit verbundenen Erwartungen nicht passieren. Das einzige was das noch mit dem Thema Sicherheit zu tun hat:

Man hat mit absoluter Sicherheit kein ToucID und keine Telefonkunktion mehr.

genau, vor allem weil normalerweise niemand OS X zum hosten irgendwelcher Services verwendet wird die offen fürs ganze inet sind. Maximial fürs LAN (und wenn ein bösewicht ins eigene lan kommt hat man eh schon verloren).

Oh, da bist Du aber schlecht informiert. Die vielen diversen Nachfragen in etlichen Foren (u.a. Apple) zeugen davon, dass OS X (Server) sehr wohl recht häufig als Server (Web, VPN, Mail, Software Update, Messages, etc...) mit Internetexposition genutzt wird.

Aber ich stimme zu - die Headline auf MTN zu dem Thema ist unnötig reisserisch. Ein Titel ala "Kommandozeile erlaubt Einschleusung schädlicher Programmanweisungen" ohne "OS X in Gefahr" wäre vollends angemessen gewesen.
Aber man will ja schließlich Klicks erzeugen...

Ach kommt schon. Regt Euch nicht über die Überschrift auf. Immerhin habe ich jetzt davon den Ohrwurm von Hawaii 5-0

Gibt noch einen zweiten Test.
Geben Sie im Terminal folgendes ein:
env x='() { :;}; echo Sicher!' bash -c "echo Alles ist gut."

Und schon ist alles gut...

Fix gibt's hier:

https://github.com/iljaiwas/bash-92

Danke! Jetzt kann ich wieder ruhig schlafen.

das deaktiviert die funktion komplett. ein "fix" wäre was anderes...

Leider habe ich noch keinen anderen, richtigen Patch für OS X gesehen. Wenn Du was hast, bitte posten.

Hab ich da was falsch verstanden? Zur Benutzung der Befehlszeile muss man doch angemeldet sein, oder?

Ja, aber der selbe Mechanisms wird auch benutzt, um URL-Parameter vom Webserver an ein CGI zu übergeben. Prinzipiell ist also jeder ungepatchte Webserver angreifbar.

Der Marktanteil von Unixoiden Servern, die über das Web erreichbar sind, liegt bei ungefähr 75%; dein Argument mit der Beliebtheit/Verbreitung von OS X/BSD/Linux zieht hier nicht wirklich.

Wer MacPorts benutzt und die aktuelle Bash 4.3 installiert und als Standard-Shell für seinen Benutzer-Account eingestellt hat, der hat bereits einen offiziellen Fix bzw. kann ihn bekommen:

sudo port -v selfupdate; sudo port -u upgrade outdated
bzw. sudo port outdated; sudo port -u bash

Der bash-Port von MacPorts ist vor wenigen Stunden auf die Version 4.3.25 gesetzt worden, MacPorts Changelog-Mitteilung dazu: Update to version 4.3.25, fixes vulnerability CVE-2014-6271, diff: .

Ergebnis bei mir (Admin-Account, Apples bash-Shell 3.2.51, liegend unter /bin/bash):

$ echo $SHELL
/bin/bash

$ echo `$SHELL --version`
GNU bash, version 3.2.51(1)-release (x86_64-apple-darwin13) Copyright (C) 2007 Free Software Foundation, Inc.

$ env x='() { :;}; echo vulnerable' $SHELL -c "echo this is a test"

vulnerable
this is a test




Mein Benutzer-Account (eingestellte Standard-Shell: MacPorts' bash-Shell 4.3.25, liegend unter /opt/local/bin/bash):

$ echo $SHELL
/opt/local/bin/bash

$ echo `$SHELL --version`
GNU bash, Version 4.3.25(1)-release (x86_64-apple-darwin13.2.0) Copyright (C) 2013 Free Software Foundation, Inc. Lizenz GPLv3+: GNU GPL Version 3 oder jünger <http://gnu.org/licenses/gpl.html> Dies ist freie Software. Sie darf verändert und verteilt werden. Für den größtmöglichen gesetzlich zulässigen Umfang wird jede Haftung ausgeschlossen.

$ env x='() { :;}; echo vulnerable' $SHELL -c "echo this is a test"
/opt/local/bin/bash: Warnung: x: ignoring function definition attempt
/opt/local/bin/bash: Fehler beim Importieren der Funktionsdefinition für `x'.
this is a test


Apple sollte/muss per Sicherheits-Update nachliefern, Mac-Nutzer, welche wie ich zusätzlich MacPorts und deren aktuelle Bash (4.x) nutzen und bevorzugen und für ihren Standard-Nutzer Nutzer oder sogar alle Nutzer als Standard-Shell eingestellt haben, sind fein raus, haben einen Fix (der seit 18 Stunden draußen ist) bereits bekommen oder können ihn sich schnell holen.

Wie es diesbzgl. unter Homebrew und Fink aussieht mit deren Bash-Port, ob die ähnlich gut gepflegt sind und bereits aktualisiert sind wie das unter MacPorts der Fall ist, weiß ich nicht, da ich die nicht nutze.

quatsch. jeder vernünftige webserver handelt das korrekt. natürlich kann es irgendwelche selbstzusammengepfuschte "webserver" geben die das nicht korrekt machen. natürlich kann in den scripten selbst dann fepfuscht werden (und environment-variablen gesetzt werden) aber das ist doch das problem des programmierers.

Fefe dazu:

und

Angenommen ich habe einen ungepatchte Webserver und da läuft meinedomain.tld/index.php drauf. Und nun?