Wer heute die Patchnotes der CERTs verfolgt hat, wird dort eine Warnung für BASH finden, die vom Redhat Security Team stammt.
Betroffene Software: Bash Betroffene Plattformen: Red Hat Enterprise Linux Desktop 6 Red Hat Enterprise Linux HPC Node 6 Red Hat Enterprise Linux Server 6 Red Hat Enterprise Linux Workstation 6 Mehrere Schwachstellen in GNU Bash ermöglichen einem lokalen, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes, auch mit Administratorrechten, sowie das Umgehen von Sicherheitsvorkehrungen u.a. mit der Folge eines Denial-of-Service (DoS)-Zustandes. Red Hat stellt für die Red Hat Enterprise Linux 6 Produkte Server, Desktop, Workstation und HPC Node Sicherheitsupdates bereit. Patch: Red Hat Security Advisory RHSA-2017:0725 <http://rhn.redhat.com/errata/RHSA-2017-0725.html>
Da es sich hier um eine aus meiner Sicht problematische Sicherheitslücke handelt, ist es unverständlich, wieso RedHat 6 Monate gewartet hat. Fedora, daß ja im Prinzip vom selben Team mit betreut wird, hatte den Patch bereits im September 2016 eingepflegt:
* Fr Sep 30 2016 Siteshwar Vashisht <svashisht@redhat.com> - 4.3.42-7 - CVE-2016-7543: Fix for arbitrary code execution via SHELLOPTS+PS4 variables Resolves: #1379634 * Mi Sep 21 2016 David Kaspar [Dee'Kej] <dkaspar@redhat.com> - 4.3.42-6 - CVE-2016-0634 - Fix for arbitrary code execution via malicious hostname Resolves: #1377614
Für mich erschreckend daran, daß die Lücke auch nur als Moderate geführt wird, obwohl man mit Hilfe eines DHCP Servers Code auf einem Computer ausführen kann. Einen Rouge DHCP Server in ein Netz zu bringen ist nachdem man einen Computer übernommen hat, nicht mehr so schwer. Da die meisten Netze via DHCP gemanaged werden, reagieren natürlich auch praktische alle Rechner im Netz auf so einen Angriff. Um so mehr ist es unverständlich, wie es sechs Monate gedauert hat, bis der Patch endlich erstellt wurde.
Und dabei hatte ich vor, die Linux Distributionen für Ihre zügigen Updates zu loben, was zumindest bei Fedora stimmt.