bash Version Starface CVE-2014-6271

slu

Die Bash Version von Starface ist von CVE-2014-6271 betroffen, ist das ein Sicherheitsproblem in Verbindung mit dem ganzen Java GUI?
Eingeschränkte SSH User haben bis das geschlossen wurde halt root Rechte, ich hab aber keine SSH User auf unserer Anlage

fwolf

Es gibt nur einen Root-User auf der Anlage. Dieser hat,... naja ohnehin Root-Rechte Eine Privilege-Escalation ist somit ausgeschlossen.

slu

Der Tomcat läuft auch noch als root, das ist schade und finde ich nicht gut.

fwolf

Warum findest Du das nicht gut?

Der Tomcat muß allerhand Dinge machen, für die Root-Rechte erforderlich sind, z.B. das Schreiben von Konfigurationsdateien nach /etc (Asterisk, NTP, Netzwerkkonfiguration, etc.), das Mounten von Netzlaufwerken und vieles mehr. Ansonsten gäbe es keine grafische Konfiguration dafür und Du müßtest das alles auf der Konsole erledigen. Auch das Modul- und Lizenzsystem benötigt für manche Dinge Root-Rechte, ebenso das Monitoring,...

slu

Zitat von fwolf

Warum findest Du das nicht gut?

Irgendwie wurde einem das so eingebläut, nix als root laufen lassen. Wenn ich mir nun überlege das der Tomcat als root läuft und manche Starface im Internet hängen, ist das wirklich gut?
Unsere hängt nur im Intranet und der Asterisk läuft zum Glück nicht als root.

Philipp

Hallo,

STARFACE wird den Fehler beheben, auch wenn er in unserer Anwendung keine Angriffsfläche bietet. Hierzu wird es ein Updaterelease mit einem entsprechenden Hinweis in den Release-Notes geben.

slu

Zitat von Philipp

STARFACE wird den Fehler beheben [...]

... CentOS wird den Fehler beheben ...

*duck und weg*

Edit: Freut mich aber das sich hier was tut!

bash Version Starface CVE-2014-6271

Jetzt mitmachen!

Benutzer online in diesem Thema