Das mag sein. Es handelt sich hierbei aber um eine Wheezy-LXDE-Standardinstallation, die ich nachträglich nicht verändert habe.
Das Gleiche habe ich gerade mit einer Debian Squeeze-Gnome-Standardinstallation getestet, und zwar im Gnome-Terminal. Ergebnis: "vulnerable". Auch bei dieser Squeeze-Installation habe ich keine manuellen Änderungen an irgendwelchen Terminalprogrammen vorgenommen.
Was ich damit sagen möchte: Der Verweis darauf, dass Dash nicht betroffen sei, wiegt Debian-Nutzer wie mich, die keine Ahnung von Linux haben, unter Umständen in trügerischer Sicherheit. Von daher ist das, gemessen an der tatsächlichen Desktop-Realität, eine eher nicht so relevante Diskussion.
Von irgendwer am So, 28. September 2014 um 20:15 #
Eigentlich ist es umgekehrt: Die Diskussionen um die Lücke schrecken Desktop-Nutzer auf, die sowieso nicht betroffen sind.
Denn welchen (zusätzlichen) Angriffsweg bietet die Lücke? So real am Desktop keinen, wenn der Angreifer nicht eh schon irgendwie auf der Kiste drauf ist.
Gefährlich ist es für Maschinen, auf denen externe Angreifer Skriptaufrufe manipulieren können. Zum Beispiel das berühmte Apache-cgi, welches via GET/POST mit Env-Parametern gefüttert werden kann. Und besagtes cgi-Skript läuft unter Debian (im Gegensatz zur interaktiven shell) per default via dash, wenn es sich überhaupt um ein Shellscript und keine sonstige ausführbare Datei handelt.
Das mag sein. Es handelt sich hierbei aber um eine Wheezy-LXDE-Standardinstallation, die ich nachträglich nicht verändert habe.
Das Gleiche habe ich gerade mit einer Debian Squeeze-Gnome-Standardinstallation getestet, und zwar im Gnome-Terminal. Ergebnis: "vulnerable". Auch bei dieser Squeeze-Installation habe ich keine manuellen Änderungen an irgendwelchen Terminalprogrammen vorgenommen.
Was ich damit sagen möchte: Der Verweis darauf, dass Dash nicht betroffen sei, wiegt Debian-Nutzer wie mich, die keine Ahnung von Linux haben, unter Umständen in trügerischer Sicherheit. Von daher ist das, gemessen an der tatsächlichen Desktop-Realität, eine eher nicht so relevante Diskussion.
Eigentlich ist es umgekehrt: Die Diskussionen um die Lücke schrecken Desktop-Nutzer auf, die sowieso nicht betroffen sind.
Denn welchen (zusätzlichen) Angriffsweg bietet die Lücke? So real am Desktop keinen, wenn der Angreifer nicht eh schon irgendwie auf der Kiste drauf ist.
Gefährlich ist es für Maschinen, auf denen externe Angreifer Skriptaufrufe manipulieren können. Zum Beispiel das berühmte Apache-cgi, welches via GET/POST mit Env-Parametern gefüttert werden kann. Und besagtes cgi-Skript läuft unter Debian (im Gegensatz zur interaktiven shell) per default via dash, wenn es sich überhaupt um ein Shellscript und keine sonstige ausführbare Datei handelt.