Shellshock-Update für GNU bash ist raus

[Rastafari]

Bash Update für Lion
Bash Update für MountainLion
Bash Update für Mavericks
Demnächst wohl auch auf der deutschen Site.
Viel Spass.

EDITH
Und ja, funktioniert. Offenbar auf Anhieb auf alle bisher gefundenen Variationen dieser Murkserei.
Im Gegensatz zum RedHat (Pitschipatschi-) "Patch" wird hier nicht nur die unerlaubte Codeausführung unterbunden, auch der korrekte Import von "Variablen vs. Funktionen" funzt jetzt ohne erkennbare Probleme.

EDITH 2
Wer nur die Binaries aus dem Lion-Paket extrahiert (zB mit Pacifist), der darf sie auch unter SnowLeopard benutzen. Funkt. (Keine kritischen Abhängigkeiten zu finden - war irgendwie auch nicht anders zu erwarten.)

 

[stk]

was ist das denn für eine Update-Policy von Apple, dass

a) kein automatisches Update zur Verfügung gestellt wird sondern man sich den Installer selbst runterladen muss,
b) der Patch entgegen der Links auf der Seite der SecurityContent nicht dokumentiert wird
c) ältere Systeme, die ebenfalls betroffen (und nach wie vor zuverlässig arbeiten) ausgeschlossen werden - das war schon anders

Gruß Stefan

 

[echo.park]

Warum kommt das nicht über den App Store? Und so wie ich das verstehe, werden mit diesem Update auch nicht alle Lücken geschlossen.

http://www.heise.de/newsticker/meldung/Mac-OS-X-Bash-Update-gegen-ShellShock-2405325.html

 

[ImpCaligula]

@Rastafari
Danke! Ich pinne das mal kurzeitig oben fest.

 

[ImpCaligula]

Nun auch auf der Apple Webseite:
http://support.apple.com/kb/HT6495?viewlocale=en_US&locale=en_US

 

[apfelfrischling]

Vielen Dank, Rastafari!

So, und nun noch für den etwas minderbemittelten Unterfertigten (und eventuell auch andere, die noch auf den guten alten Snow Leo schwören):

Wer nur die Binaries aus dem Lion-Paket extrahiert (zB mit Pacifist), der darf sie auch unter SnowLeopard benutzen. Funkt.

Im Paket sind ja mehrere bin-Ordner aufzufinden:


nämlich auch ein Unterordner in: usr...welche nun möchte der Geneigte nehmen...nur den als "bashbug" bezeichneten oder auch "bash"?

Mit Dank im Voraus für eine kleine Nachhilfe und

 

[Scotch]

Die Datei aus dem .../bin-Verzeichnis.

 

[Rastafari]

Du brauchst nur /bin/sh und /bin/bash (und zwar beide)
Der Rest ist optional
Nur die Dateien unter /private/etc enthalten Änderungen die nur für Lion+ sind

 

[Rastafari]

Warum kommt das nicht über den App Store?

Weil das weltweite Lastverteilungssystem der "Mutterseite" immer um bis zu etwa 24 Stunden hinterherhinkt.
Sollte sich nach vielen Jahren mal als Allgemeinwissen manifestieren.

Und so wie ich das verstehe, werden mit diesem Update auch nicht alle Lücken geschlossen.

So wie ich die anderen genannten Lücken verstehe, waren sie nur die unmittelbare Folge eines fehlerhaften ersten Patches.
Es ist noch eine weitere hochkritische offen, aber zu der gibts noch keine Details - und die scheint mir der Beschreibung nach eine gänzlich andere Ursache zu haben. Ob auch die bash3.x/non-gcc davon betroffen ist, oder nur die 4 auf gnu-Systemen - völlig unklar.

 

[echo.park]

Weil das weltweite Lastverteilungssystem der "Mutterseite" immer um bis zu etwa 24 Stunden hinterherhinkt.
Sollte sich nach vielen Jahren mal als Allgemeinwissen manifestieren.

Updates wie beispielsweise 10.9.5 sind doch noch nie 24 Std. vorher auf Apples Webseite aufgetaucht und danach erst im App Store. Bisher kam das doch alles immer zeitgleich.

 

[Rastafari]

Updates wie beispielsweise 10.9.5 sind doch noch nie 24 Std. vorher auf Apples Webseite aufgetaucht und danach erst im App Store.

Bei kompletten Systemupdates ist das kurioserweise oft genau andersherum. "Zeitgleich" ist aber aus technischen Gründen so gut wie unmöglich. Bis sich eine neu verfügbare Datei im gesamten Akamei-Netz verbreitet hat, vergeht immer eine gewisse Zeitspanne. Scheint daran zu liegen, wer was wann und wo dort einspeist.

Vergleiche doch einfach mal
http://support.apple.com/downloads/
mit
http://support.apple.com/de_DE/downloads/
...und morgen noch mal. Und immer wieder. Und vvlt auch noch ein paar andere lokale Spiegel deiner freien Wahl. Da wirst du immer Unterschiede feststellen.

 

[apfelfrischling]

@ Rastafari:
Vielen Dank!

 

[raven]

@Rastafari Danke. Und versteh ich das richtig, muss man über den Download-Link das installieren? Über Softwareupdates kommt nichts. Oder kann es sein, dass es zeitverzögert in den nächsten 24 - 48 h kommt. Frage nur nach, weil ich kein Englisch kann.

 

[CharlieBrown]

Wird dieses update den dem "normalen Mac-User" nahegelegt? Seit letzter Woche bin ich vorischtig geworden...

 

[raven]

@CharlieBrown Genau deswegen fragte ich eben nach. Seit dem iOS8.0.1 Update vertraue ich auch nicht sofort blind Apple.

 

[GREYAchilles]

@Rastafari Danke. Und versteh ich das richtig, muss man über den Download-Link das installieren? Über Softwareupdates kommt nichts. Oder kann es sein, dass es zeitverzögert in den nächsten 24 - 48 h kommt. Frage nur nach, weil ich kein Englisch kann.

Nein es wird nicht über die Updatefunktion kommen, unverständlich aber so ist es eben. Ich habs grad ohne ersichtliche Probleme installiert, MBP 15" Retina late 2013


lige Grüße vom iPhone GREYAchilles

 

[raven]

Nein es wird nicht über die Updatefunktion kommen, unverständlich aber so ist es eben.

Danke dir. da ich nicht Englisch kann habe ich Mühe einfach mich durch die gegend zu zappen und ja es ist vollkommen unverständlich.
Es kann doch nicht sein, dass solche Lücken geschlossen werden und der normale Endanwender davon nichts mitbekommt. Apple war doch Anwenderfreundlich. Wie erfahren unerfahrene User ohne Apfeltalk von so etwas?

 

[Rastafari]

Wie erfahren unerfahrene User ohne Apfeltalk von so etwas?

http://support.apple.com/downloads/

 

[MacAlzenau]

Ja, unerfahrene Apple-Benutzer schauen auch regelmäßig auf den Appleseiten nach, was da angeboten wird…
Apple erklärt das Nichtanbieten über die Softwareaktualisierung angeblich damit, daß nur spezielle Benutzer betroffen seien.

 

[raven]

http://support.apple.com/downloads/

Danke dir. Mittlerweile ist der Link auch in Deutsch bei uns angekommen. http://support.apple.com/de_DE/downloads/

Ja, unerfahrene Apple-Benutzer schauen auch regelmäßig auf den Appleseiten nach, was da angeboten wird…
Apple erklärt das Nichtanbieten über die Softwareaktualisierung angeblich damit, daß nur spezielle Benutzer betroffen seien.

Logisch sehe ich selber immer mal überall nach. Aber ich gehe davon aus, dass es User gibt die noch weiniger Kenntnisse haben als ich, und für die User sollte eigentlich Apple das im App-Store als normales Update anbieten.

Wie weiss ich ob ich betroffen bin? Ich weiss es nicht. Oder es sind alle, das weiss ich noch weniger.
Deshalb bin ich euch auch dankbar für jeden Hinweis.

Kann man denn wo sehen ob man betroffen ist oder gilt es für alle die Mavericks haben?
Besten Dank @Rastafari & @MacAlzenau.

//edit: Das aus dem Link in deutsch rauskopiert Quelle: Applesupport

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Weitere Informationen zur Apple-Produktsicherheit finden Sie auf der Website Apple-Produktsicherheit.

Dieses Dokument beschreibt kürzlich erschienene Updates und Releases.

Kauf von OS X

Informationen zum Kauf von OS X (Client) finden Sie hier. Informationen zum Kauf von OS X Server finden Sie hier.


Softwareaktualisierungen für OS X sind verfügbar über die:

• Softwareaktualisierung
• Apple-Support

PGP-Schlüssel für die Apple-Produktsicherheit

Informationen hierzu finden Sie unter Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit.