Gå till innehåll
Just nu i M3-nätverket

Uppdatering för Bash släppt för 10.7/8/9

xeric

Startad av xeric,
i Tipsa oss!

Rekommendera Poster

xeric

xeric

Postad
  • Författare
Postad

Tack iEricF :kramis:

:ThumbsUp:

 

 

Misstänker dock att det kan komma ngn uppdatering senare med. Det som är lagat är ju fixat mer el mindre i panik... Nu är det ju fokus på problemet, så det blir säkert en genomgång av hela bash och en bättre lösning sen. Lite som man gjort med openssl. Sen.... Nya versionen är 3.2.53. I förrgår kom patch 54 som fixar den 3'e varianten på felet. Och sen hade både NetBSD och FreeBSD en egen lösning med där man stängde av en importeringsfunktion som förvalt. Det fixar det med. Kanske är den vägen Apple gått.

GNU bash, version 3.2.53(1)-release (x86_64-apple-darwin11)
Copyright (C) 2007 Free Software Foundation, Inc.

Är ju bra att de var rel. snabba med uppgraderingen - fast lite synd att de inte passade på att lägfga in bash4.3, när de ändå höll på s a s. Tidspress/tidsbrist antar jag.

Länk till kommentar
Dela på andra webbplatser
SirKnasen

SirKnasen

Postad
Postad

Tack för tipset.

 

Varför inte till Snow Leopard också? Apple säljer fortfarande det.

Apple slutade supportera SnowLeopard i februari 2014.

Antar de säljer SnowLeopard enbart för att gammeldatorer ska få tillgång till AppStore för att kunna köpa nya supporterade OS

Länk till kommentar
Dela på andra webbplatser
xeric

xeric

Postad
  • Författare
Postad

Tack för tipset.

 

Varför inte till Snow Leopard också? Apple säljer fortfarande det.

Ja, det kan man undra... Fast de släppte väl SL förra året. Inga mer säkerhetsuppdateringar o sånt. Även om den säljs är det vl mer el mindra bara för att folk skall få in AppStore och sen kunna gå vidare. :fundersam:
Länk till kommentar
Dela på andra webbplatser
xeric

xeric

Postad
  • Författare
Postad

Misstänker dock att det kan komma ngn uppdatering senare med.

Och precis som på sidorna där kallas ju uppdateringen för “OS X bash Update 1.0”. Så, forts lär följa...

Länk till kommentar
Dela på andra webbplatser
Alix

Alix

Postad
Postad

Apple slutade supportera SnowLeopard i februari 2014.

Antar de säljer SnowLeopard enbart för att gammeldatorer ska få tillgång till AppStore för att kunna köpa nya supporterade OS

Jo, så är det säkert, men det tycker jag är fel. Säljer man ett operativsystem så ska man stödja det.
Länk till kommentar
Dela på andra webbplatser
Alix

Alix

Postad
Postad

Ja, det kan man undra... Fast de släppte väl SL förra året. Inga mer säkerhetsuppdateringar o sånt. Även om den säljs är det vl mer el mindra bara för att folk skall få in AppStore och sen kunna gå vidare. :fundersam:

Som jag skrev ovan.
Länk till kommentar
Dela på andra webbplatser
xeric

xeric

Postad
  • Författare
Postad

Jo, så är det säkert, men det tycker jag är fel. Säljer man ett operativsystem så ska man stödja det.

Ja, det kanske kommer en lösning/uppdatering senare... :crossfingers:

 

Annars blir det väl att pilla in den själv... antingen en direkt från Gnu, eller att man tar ner den versionen man har från Apple's opensource-sida - patchar up den, och sen installerar med Xcode (då får man mer el mindre samma). Men det lär nog komma någon lösning på det. Gör inte Apple det själva lär säkert någon skapa en smidigt variant på den. :crossfingers:

Länk till kommentar
Dela på andra webbplatser
Pocahontas

Pocahontas

Postad
Postad

Varför kommer inte uppdateringen i AppStore?

Länk till kommentar
Dela på andra webbplatser
xeric

xeric

Postad
  • Författare
Postad

Varför kommer inte uppdateringen i AppStore?

Förmodligen för att den är så egen, och för att det nog kommer fler. Kanske är en, el skall ses som en paniklösning (temporär). Sen när det är under kontroll - att det kommer den vanliga vägen sen via en säkerhetesuppdatering el nåt.

Länk till kommentar
Dela på andra webbplatser
xeric

xeric

Postad
  • Författare
Postad

Misstänker dock att det kan komma ngn uppdatering senare med. Det som är lagat är ju fixat mer el mindre i panik... Nu är det ju fokus på problemet, så det blir säkert en genomgång av hela bash och en bättre lösning sen. Lite som man gjort med openssl. Sen.... Nya versionen är 3.2.53. I förrgår kom patch 54 som fixar den 3'e varianten på felet. Och sen hade både NetBSD och FreeBSD en egen lösning med där man stängde av en importeringsfunktion som förvalt. Det fixar det med. Kanske är den vägen Apple gått.

 

Liten uppdatering bara...

 

Verkar som just den missen med att inte ta med (få med) sista patchen (#54) gör att den fortfarande inte är helt ok. Fortf är en av varianterna inte borta: https://twitter.com/ake_____/status/516732774640656384

ByvNuHqCYAES6k4.png

 

 

Så, som sagt - det lär komma fler uppdateringar. Men uppdatera nu. Denna uppdatering täpper det mesta. :crossfingers:

Länk till kommentar
Dela på andra webbplatser
xeric

xeric

Postad
  • Författare
Postad

Amatörsmässigt av Apple. Allt är iOS nuförtiden... :ThumbsDown:

Nja, inte så farligt i detta fallet... De har jobbat på (rel) bra, och gjorde säkert klart deras version innan #54 kom. Förutom det som #54 lagar, så finns det ju mer sen, och kommer säkert fram mer varianter sen. Den patchen Free/NetBSD la in föhindrar dem, så länge, tills bättre lösningar kommer. Apple borde också köra med den.

 

Ja, det är (för) mkt iOS nuförförtiden. :ThumbsDown:

Länk till kommentar
Dela på andra webbplatser
xeric

xeric

Postad
  • Författare
Postad

Det kom en ny patch idag: http://ftp.gnu.org/gnu/bash/ (för vår version 3.2 = patch #55). Så det lär nog dyka upp en Appleupdateringen igen snart. :crossfingers:

Bash-Release: 3.2
Patch-ID: bash32-055

...

Bug-Description:

There are two local buffer overflows in parse.y that can cause the shell to dump core when given many here-documents attached to a single command or many nested loops.
Länk till kommentar
Dela på andra webbplatser
mattem

mattem

Postad
Postad

Även för 10.5 och 10.6 är uppdaterat. Gäller även för PPC

 

http://www.macpro.se/2014/10/uppgraderad-bash-aven-for-aldre-macdatorer/

 

Skam den som ger sig. Ytterligare ett tredjepartspaket har nu släppts som möjliggör en uppgradering av Bash även för Mac-datorer som kör Mac OS X 10.5 eller 10.6.

Extra trevligt är att de som kör Mac OS X 10.5 på 32- och 64-bitars PowerPC också omfattas av denna uppgradering som rekommenderas för alla användare.

Uppgraderingen uppgraderar Bash till version 3.2.56 och fungerar hela vägen upp till version OS X 10.10 “Yosemite” som för övrigt redan är patchad av Apple, vilket företaget inte

Länk till kommentar
Dela på andra webbplatser
xeric

xeric

Postad
  • Författare
Postad

Även för 10.5 och 10.6 är uppdaterat. Gäller även för PPC

 

http://www.macpro.se/2014/10/uppgraderad-bash-aven-for-aldre-macdatorer/

Hur ska man kunna lita på att det inte är något fanstyg man installerar?

Nej, exakt kan man ju aldrig veta. Men källan är “Utah University - Mac Managers” (»»). Skulle nog vara svårt att göra ngt fanstyg där, utan att sätta hela skolans rykte på spel.

 

Det finns ju en fix för 10.5/6 ute sen tidigare. T ex: https://gist.github.com/dnozay/395dcdef05c6b4b1836a

 

Är säkert en liknande, men att man har gjort en installerare av den så det blir med lättinstallerat.

 

Man kan ju fortf kolla på sidan: http://apple.stackexchange.com/questions/146849/how-do-i-recompile-bash-to-avoid-shellshock-the-remote-exploit-cve-2014-6271-an och följa hur de gjort där - bara att man väljer (Snow) Leopards filer. F ö är det samma patchar och tillvägagångssätt.

 

Alt. att man installerar helt själv.

Länk till kommentar
Dela på andra webbplatser
Alix

Alix

Postad
Postad

Nej, exakt kan man ju aldrig veta. Men källan är “Utah University - Mac Managers” (»»). Skulle nog vara svårt att göra ngt fanstyg där, utan att sätta hela skolans rykte på spel.

 

Det finns ju en fix för 10.5/6 ute sen tidigare. T ex: https://gist.github.com/dnozay/395dcdef05c6b4b1836a

 

Är säkert en liknande, men att man har gjort en installerare av den så det blir med lättinstallerat.

 

Man kan ju fortf kolla på sidan: http://apple.stackexchange.com/questions/146849/how-do-i-recompile-bash-to-avoid-shellshock-the-remote-exploit-cve-2014-6271-an och följa hur de gjort där - bara att man väljer (Snow) Leopards filer. F ö är det samma patchar och tillvägagångssätt.

 

Alt. att man installerar helt själv.

Jag tänker närmast på att det är ett gyllene tillfälle för skumma typer att smyga in lite kod som inte ska vara i datorn. Om man inte själv har förmåga att läsa av koden, så bör man hålla sig Apples officiella stöd.

Länk till kommentar
Dela på andra webbplatser
xeric

xeric

Postad
  • Författare
Postad

För 10.5/6 finns inget officiellt stöd för att uppdatera där. Förhoppningsviskommer det dit med. Men en uppdatering - även 3'e parts är i det här fallet en trygg uppdatering. Finns alldeles för många ögon på problemet just nu, så ingen skulle kunna smyga in kod utan att det märks, el hörs av andra. Gnu/Bash är open source, så det är meningen att alla skall kunna göra egna versioner.

Fördelen med den updateringen för 10.5/6 där från Github, är att man ser filerna - f f a alla checksums på patcharna. Gnu släpper ingen patch el ny version utran att det medföljer en signaturfil att validera mot.

Men oavsett - med denna installer... Är för 10.5-10 och uppdaterar till senaste patchen, där Apple bara la in de 2-3 första som kom. :yeahaby:

Installationsskriptet (pre-install) ser ut såhär:

post-64246-0-89716000-1412679286_thumb.jpg

Själva bash/sh är färdiga binaries.

- - -

För att vara lite halv-offtopic... Installera gärna GPGTools (GPG Suite). Även om man inte kör med PGP-mail (krypterad mail), så med programmet installerat får man automatiskt installerat verktyg att kunna validera filer och nerladdningar när man t e x laddar ner ett progam och det medföljer en .sig/.asc-fil.

Ex:
programnamn.tar.gz
programnamn.tar.gz.sig

Så höger klickar man på det packade filen och väljer validera mot den andra (.sig).

gpgtools_verify_signature.png

 

Ett bra exempel är PHP's nedladdningssida: http://se2.php.net/downloads.php

Varje fil har en medföljande signatur samt en md5 checksum. Längre ner på sidan finns alla uppgifter om vem som signerat vad.

Länk till kommentar
Dela på andra webbplatser
xeric

xeric

Postad
  • Författare
Postad

Även för 10.5 och 10.6 är uppdaterat. Gäller även för PPC

 

http://www.macpro.se/2014/10/uppgraderad-bash-aven-for-aldre-macdatorer/

[+] :yeahbaby: Ja, det är bra att det kommer.

 

Ironiskt nog är den redan “inaktuell”. Det kom en ny patch igår/förrgår för 3.2: #57 (den vers OS X kör med), och #30 för version 4.3. Så det lär säkert dyka upp fler nya färdiga uppdateringar. :crossfingers: Men det är ju bara att lägga in dem varteftersom.

 

Hoppas verkligen Apple överväger att passa på, att mitt i allt bug/patch-kaos, passa på att uppdatera alla till 4.3. Det vore nog bra.

Länk till kommentar
Dela på andra webbplatser

Arkiverat

Det här ämnet är nu arkiverat och är stängt för ytterligare svar.

Gå till ämneslista


×
×
  • Skapa nytt...