Forum


Spickzettel

Neben den Buttons stehen unter anderem folgende BB-Codes zur Verfügung:

Bildgröße beschränken:
[img width=400 height=300]Bildadresse[/img]
Weglassen von height o. width behält Bildverhältnis bei.

Tabelle:
[table]
[tr][td]Zelle 1/1[/td][td]Zelle 1/2[/td][/tr]
[tr][td]Zelle 2/1[/td][td]Zelle 2/2[/td][/tr]
[/table]
[tr] = Zeile [td] = Zelle

Text:
[u]unterstreichen[/u]
[s]durchstreichen[/s]
[size=4]skalieren[/size]
[sup]hochsetzen[/sup]
[sub]runtersetzen[/sub]
Umbrechen[Br]Neue Zeile
[center]zentriert[/center]
[left]linksbündig[/left]
[right]rechtsbündig[/right]
[rtl]von rechts einschieben[/rtl]
[pre]Vorformattierung erhalten[/pre]
[move]Bewegen/Laufschrift[/move]
[shadow=red,right]Schattieren[/shadow]
[font=arial]Anderer Zeichensatz[/font]
[glow=yellow,2]„glühen“/markieren[/glow]

Horizontale Linie: [hr]

Abkürzung mit Erklärung bei Mouseover:
[acronym=Mysteriöse Inselzone]MIZ[/acronym]
am besten auch unterstreichen:
[acronym=Mysteriöse Inselzone][u]MIZ[/u][/acronym]

Link innerhalb des Beitrages oder derselben Seite:
Ziel setzen: [anchor=Ziel]Ziel[/anchor]
Link darauf: [iurl=#Ziel]Link zum Ziel[/iurl]

Link im selben Fenster öffnen:
[iurl]http://www.apfelinsel.de[/iurl]

Name:
Betreff:
Verifizierung:
Buchstaben anhören

Gib die Buchstaben aus dem Bild ein:


Zusammenfassung

Autor: radneuerfinder
Oktober 02, 2014, 00:19:32
http://www.heise.de/security/meldung/Mac-OS-X-Bash-Update-gegen-ShellShock-2405325.html
Autor: MacFlieger
September 26, 2014, 09:38:48
OK, danke.
Autor: mbs
September 26, 2014, 08:51:05
Das größte Problem ist wohl, dass dieser Mechanismus so universell ist, dass man im Moment noch gar nicht verstanden hat, wo man das überall zu einem Angriff ausnutzen könnte.

Das Hauptszenario, das im Moment diskutiert wird, ist die Verwendung dieser Technik beim Aufruf von CGI-Skripten auf einem Apache-Webserver. Der 20 Jahre alte CGI-Standard und dessen übliche Implementation sieht vor, dass bestimmte Teile aus einem eingehenden HTTP-Request ungeprüft in Umgebungsvariablen übernommen werden und dann eine Kind-Shell mit diesen Variablen aufgerufen wird, die dann ihrerseits das CGI-Programm startet. Man braucht also bloß manipulierte HTTP-Anfragen an einen Apache zu schicken, auf dem CGI eingeschaltet ist und die User-Shell für dessen Benutzer-Account auf bash gesetzt ist.
Autor: MacFlieger
September 26, 2014, 07:28:57
OK, in Enviromentvariablen können also Shellbefehle eingebaut werden.

Ich habe jetzt nur das Angriffsszenario noch nicht verstanden. Wie könnte auf welche Weise wo Schadcode injiziert werden? Und wie könnte der ausgenutzt werden?
Autor: Florian
September 25, 2014, 23:15:43
Ein Bug, der offensichtlich seit über 25 Jahren in der Bash-Shell besteht erlaubt die Ausführung jedweden Codes auf entsprechenden Servern. Das betrifft v.a. Webserver, auch die wenigen, die auf OS X laufen.
http://www.heise.de/newsticker/meldung/ShellShock-Standard-Unix-Shell-Bash-erlaubt-das-Ausfuehren-von-Schadcode-2403305.html

Nun wird fieberhaft gepatcht, ohne vollständige oder ganz ohne Wirkung. Von Apple stehen Stellungnahmen und Patches noch aus.

Router scheinen nicht betroffen, dafür einige Industrieanlagen, die erfahrungsgemäß sehr langsam oder gar nicht gepatcht werden.