**ShellShock**

[mango]

Hi!

"Standard-Unix-Shell Bash erlaubt das Ausführen von Schadcode"
http://www.easy-vdr.de/forum/index.php?t...#msg152616

Da ja noch "Einige" easyVDR-1.0.x einsetzen, hab ich mal den Bash-Sources
aus Trusty-14.04 unter Oneiric gebaut. ...wegen Abhänigkeiten musste auch dpkg erneuert werden.

"Oneiric" wurde von den Ubuntu-Servern entfernt,
Pakete & Sources liegen aber noch auf "http://ftp.hosteurope.de"
Bitte Quellen anpassen. ...meine "/etc/apt/sources.list"

## http://ftp.hosteurope.de ##
#
# oneiric
deb http://ftp.hosteurope.de/mirror/old-rele...com/ubuntu oneiric main restricted
deb-src http://ftp.hosteurope.de/mirror/old-rele...com/ubuntu oneiric main restricted

## oneiric-updates
deb http://ftp.hosteurope.de/mirror/old-rele...com/ubuntu oneiric-updates main restricted
deb-src http://ftp.hosteurope.de/mirror/old-rele...com/ubuntu oneiric-updates main restricted

## oneiric-universe
deb http://ftp.hosteurope.de/mirror/old-rele...com/ubuntu oneiric universe
deb-src http://ftp.hosteurope.de/mirror/old-rele...com/ubuntu oneiric universe
deb http://ftp.hosteurope.de/mirror/old-rele...com/ubuntu oneiric-updates universe
deb-src http://ftp.hosteurope.de/mirror/old-rele...com/ubuntu oneiric-updates universe

## oneiric-multiverse
deb http://ftp.hosteurope.de/mirror/old-rele...com/ubuntu oneiric multiverse
deb-src http://ftp.hosteurope.de/mirror/old-rele...com/ubuntu oneiric multiverse
deb http://ftp.hosteurope.de/mirror/old-rele...com/ubuntu oneiric-updates multiverse
deb-src http://ftp.hosteurope.de/mirror/old-rele...com/ubuntu oneiric-updates multiverse

## oneiric-backports
deb http://ftp.hosteurope.de/mirror/old-rele...com/ubuntu oneiric-backports main restricted universe multiverse
deb-src http://ftp.hosteurope.de/mirror/old-rele...com/ubuntu oneiric-backports main restricted universe multiverse

## oneiric-security
deb http://ftp.hosteurope.de/mirror/old-rele...com/ubuntu oneiric-security main restricted
deb-src http://ftp.hosteurope.de/mirror/old-rele...com/ubuntu oneiric-security main restricted
deb http://ftp.hosteurope.de/mirror/old-rele...com/ubuntu oneiric-security universe
deb-src http://ftp.hosteurope.de/mirror/old-rele...com/ubuntu oneiric-security universe
deb http://ftp.hosteurope.de/mirror/old-rele...com/ubuntu oneiric-security multiverse
deb-src http://ftp.hosteurope.de/mirror/old-rele...com/ubuntu oneiric-security multiverse

## oneiric-partner
deb http://archive.canonical.com/ubuntu oneiric partner
deb-src http://archive.canonical.com/ubuntu oneiric partner

## base-stable
deb http://ppa.launchpad.net/easyvdr-team/ba...ble/ubuntu oneiric main
deb-src http://ppa.launchpad.net/easyvdr-team/ba...ble/ubuntu oneiric main

## base-testing
deb http://ppa.launchpad.net/easyvdr-team/ba...ing/ubuntu oneiric main
deb-src http://ppa.launchpad.net/easyvdr-team/ba...ing/ubuntu oneiric main 

## others-stable
deb http://ppa.launchpad.net/easyvdr-team/ot...ble/ubuntu oneiric main
deb-src http://ppa.launchpad.net/easyvdr-team/ot...ble/ubuntu oneiric main

## others-testing
deb http://ppa.launchpad.net/easyvdr-team/ot...ing/ubuntu oneiric main
deb-src http://ppa.launchpad.net/easyvdr-team/ot...ing/ubuntu oneiric main

## vdr stable
deb http://ppa.launchpad.net/easyvdr-team/vdr-stable/ubuntu oneiric main
deb-src http://ppa.launchpad.net/easyvdr-team/vdr-stable/ubuntu oneiric main

## vdr-testing
deb http://ppa.launchpad.net/easyvdr-team/vd...ing/ubuntu oneiric main
deb-src http://ppa.launchpad.net/easyvdr-team/vd...ing/ubuntu oneiric main

Nun sollte ein update & upgrade ausgeführt werden.

Code:

sudo apt-get update
sudo apt-get upgrade

Security-Update - Pakete zum download
http://www.easy-vdr.de/~mango/security/bash ->

Code:

bash_4.3-7ubuntu1.4_i386.deb
bash-builtins_4.3-7ubuntu1.4_i386.deb
bash-doc_4.3-7ubuntu1.4_all.deb
bash-static_4.3-7ubuntu1.4_i386.deb

http://www.easy-vdr.de/~mango/security/dpkg ->

Code:

dpkg_1.16.1ubuntu1_i386.deb
dpkg-dev_1.16.1ubuntu1_all.deb
dselect_1.16.1ubuntu1_i386.deb
libdpkg-dev_1.16.1ubuntu1_i386.deb
libdpkg-perl_1.16.1ubuntu1_all.deb

Install "dpkg"

Code:

sudo su
cd /tmp
wget http://www.easy-vdr.de/~mango/security/dpkg/dpkg_1.16.1ubuntu1_i386.deb
wget http://www.easy-vdr.de/~mango/security/dpkg/libdpkg-perl_1.16.1ubuntu1_all.deb
wget http://www.easy-vdr.de/~mango/security/dpkg/dpkg-dev_1.16.1ubuntu1_all.deb
dpkg -i dpkg_1.16.1ubuntu1_i386.deb
dpkg -i libdpkg-perl_1.16.1ubuntu1_all.deb
dpkg -i dpkg-dev_1.16.1ubuntu1_all.deb

Bitte hier die Reihenfolge einhalten!

Install "bash"

Code:

wget http://www.easy-vdr.de/~mango/security/bash/bash_4.3-7ubuntu1.4_i386.deb
dpkg -i bash_4.3-7ubuntu1.4_i386.deb

..nach "Security-Update" kann man mit Eingabe von

Code:

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

testen ob alles Ok ist. Die Ausgabe sollte dann

Code:

this is a test

sein.

Gruss
Wolfgang

[grumpf]

Hi Wolfgang,
passt supi!

Code:

[email protected]:~/mango/security# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
this is a test
[email protected]:~/mango/security#

...und vielen Dank auch für das neue Repository! Ansonsten habe ich mich leider mit einem

Code:

sudo apt-get install --reinstall easyvdr

retten müssen... irgendwie hatte ich dann Kernel 3.2 drauf, dann fehlten nach Downgrade auf 3.0.32 die DKMS für Nvidia 3.04, dann nur Fehler irgendetwas fehlt bei "sudo setup", aber http://www.easy-vdr.de/forum/index.php?topic=15460.0 war die Lösung für den "service easyvdr-vdr start" und "service easyvdr-frontend start"!

[Martin]

Danke Wolfgang,

falls das noch klappt baue ich das in "ein letztes V1.0 ISO" ein...

Grüße