http://sources.debian.net/src/…tches/CVE-2014-6271.diff/
nur als Hint bei openembedded konnte ich dazu auch noch keinen Commit sehen.
http://sources.debian.net/src/…tches/CVE-2014-6271.diff/
nur als Hint bei openembedded konnte ich dazu auch noch keinen Commit sehen.
Zitat
Ein Grund zum Aufatmen ist allerdings, dass Busybox nicht betroffen ist. Damit sind die meisten Embedded-Linux-Systeme wie zum Beispiel Router, die Busybox an Stelle von Bash und den GNU-Kommandozeilentools einsetzen, nicht angreifbar.
hatte eben nur ein Test gemacht und kann mich nicht dran errinern, dass ich beim OE2 Image bei der DM800se das Bash selber installiert habe, dort ist es zumindest drauf...
und ich meine es wird ja auch im Repo mitgeliefert...
hier der Patch für OE2.2:
https://gist.github.com/mklooss/7ace35b31ba7f8c7565a
Bevor Missverständnisse aufkommen: bash ist und war definitiv nicht Bestandteil offizieller Images. Es mag höchstens sein, dass es als Abhängigkeit mitinstalliert wurde, wenn ein Paket manuell nachinstalliert wurde.
Wie dem auch sei, das Problem bei dem von Dir angesprochenen Fehler der bash ist, dass es Remote-Code-Execution erlauben könnte, sofern bash z.B. in öffentlich zugänglichen CGI-Skripten verwendet würde. Ist aber ebenfalls bei der Dreambox nicht der Fall. Eine "verwundbare" bash installiert zu haben, ist nicht automatisch ein Problem.
das ist korrekt, zumal ja die Dream oft im Internen Netzwerk nur läuft.
ich habe es für mich selber erstmal gepatched. da ich es scheinbar auf einigen Boxen drauf habe.