Apple schließt gefährliche Bash-Sicherheitslücke (Update)

30. Sep 2014 11:00 Uhr - sw

In der vergangenen Woche wurde eine kritische Sicherheitslücke ("Shellshock" genannt) in der Unix-Shell Bash bekannt, die Angreifern das Einschleusen und Ausführen von Schadcode aus der Ferne auf Servern ermöglicht. Auch OS X ist betroffen, da das Terminal standardmäßig mit Bash läuft. Apple hat nun ein Update veröffentlicht, das die Schwachstelle behebt.


OS X Mavericks

OS X: Apple behebt Bash-Schwachstelle.
Bild: Apple.



Das "OS X Bash Update 1.0" ist in drei Ausführungen erhältlich: für OS X 10.7.5, für OS X 10.8.5 und für OS X 10.9.5. Der Download muss manuell via Web erfolgen, da das Update bislang nicht von der Softwareaktualisierung angeboten wird. Wie Apple in einem Support-Dokument erläutert, bringt das Update weitere Änderungen zur Verbesserung der Bash-Sicherheit mit.

Nach Angaben von Apple waren Macs nur dann angreifbar, wenn Anwender fortgeschrittene Unix-Dienste konfiguriert hatten. Bash ist eine Open-Source-Software, die in vielen Linux- und Unix-Betriebssystemen zum Einsatz kommt.

Nachtrag (22:45 Uhr): Auch in den neuesten Builds von OS X 10.10 wurde die Bash-Schwachstelle behoben.

Kommentare

Super das Apple, relativ, schnell reagiert hat, nervig aber ist das Sie 10.6.x vergessen haben.

Es gibt noch dutzende Firmenkunden die sich weigern auf die doch instabile 10.7-10.9 zurückzugreifen und bei 10.6.8 bleiben (vorallen weil der OD Anbindung mit die neuere OS noch immer komplett unbrauchbar ist)

Aber was soll's, Apple will ja gar keine Firmen Kunden mit Professionelle Bedürfnisse. Am liebsten sind die naive Consumer die mit alles zufrieden geben was Apple auf neu den Markt bringt :-(

[quote=Gerard_Dirks]Super das Apple, relativ, schnell reagiert hat, nervig aber ist das Sie 10.6.x vergessen haben.[/quote]Ich meine, dass man das Bash-Problem bei 10.6.8 und älter vernachlässigen kann, weil eben kaum jemand fortgeschrittene Unix-Dienste darauf laufen hat.

Ich finde die älteren Systeme ja auch freundlicher ;-)

Gruß Uli

auf meinem iMac Intel 2,5 GHz mit OS X 10.8.5 kann ich das dmg von der Apple Webseite für OS X Mountain Lion 10.8.5 jedenfalls nicht installieren.

Beim Menü Laufwerk auswählen erscheint die Meldung: "OS X Bash Update kann auf diesem Laufwerk nicht installiert werden. Dieses Volume erfüllt nicht die Voraussetzungen für dieses Update."

Ok, shit happens, aber weiss vielleicht jemand was hier los ist?

Gerade bei älteren und sehr alten Maschinen ist die Wahrscheinlichkeit, dass die entfernte Anmeldung verwendet wird recht gross. So kann ohne viel Prozesssorleistung kopiert und installiert werden, und eine nicht mehr sauber laufende Maschine von ferne neu gestartet werden. Wir haben für Steuerungen noch Maschinen mit 10.4.11 laufen, ich wäre froh, wenn bash auch da gefixt würde.
Hat jemand versucht, aus dem Installerpaket bash zu extrahieren und in ein älteres System zu installieren?

[quote=Gerard_Dirks]Super das Apple, relativ, schnell reagiert hat, nervig aber ist das Sie 10.6.x vergessen haben.

Es gibt noch dutzende Firmenkunden die sich weigern auf die doch instabile 10.7-10.9 zurückzugreifen und bei 10.6.8 bleiben (vorallen weil der OD Anbindung mit die neuere OS noch immer komplett unbrauchbar ist)

:-([/quote]

Bei Apple gibt es nichts für OS X 10.6, stimmt.

Hier gibt es einen Patch für OS X 10.4 bis 10.6, sogar Universal Binary (d.h. für PPC-Macs ebenso wie für Intel-Macs geeignet):

http://tenfourfox.blogspot.co.at/2014/10/and-bash-is-probably-done-4330…

Ein paar einfache Terminal-Befehle sind zur Installation nötig, die aber gut beschrieben sind.