ShellShock und die freie Wahl

schmidicom · Veteran Joined: 09 Mar 2006 Posts: 1924 Location: Schweiz

Seit einiger Zeit gehen ja immer wieder Meldungen über Sicherheitslücken in der bash herum und deshalb dachte ich mir es wäre doch mal eine gute Idee "/bin/sh" auf was anderes umzustellen, schließlich hat man unter Linux ja die "freie" Wahl.
Denkste...
Kaum steht ein grösseres Update an merkt man wie frei die Wahl tatsächlich ist, nämlich verschwinden gering, denn eigentlich läuft es immer wieder auf "Friss oder Stirb" hinaus. Gerade eben haben nämlich php und apr-util mit der Fehlermeldung "libtool: compile: you must specify a compilation command" herumgezickt nur weil "/bin/sh" auf die "dash" zeigte.

Mal ganz ehrlich, was bringt einem diese ach so freie Wahl wenn dann die Devs von irgendwelchen Softwarepaketen diese nicht respektieren?

PS: Und ja, ich habe den Beitrag teilweise auch deshalb geschrieben um meinem Ärger Luft zu verschaffen.
_________________
Lenovo - ThinkPad P16s Gen 2 - 21K9CTO1WW

py-ro · Veteran Joined: 24 Sep 2002 Posts: 1734 Location: Velbert

Aye das ist irgendwie auch die falsche Distribution dafür, denn was sind den die ganzen Ebuilds? Eben, Bash-Skripte.

Bye
Py

kurisu · Posted: Wed Oct 01, 2014 6:55 pm Post subject:

Gentoo ohne Bash wird in der Tat schwierig. Zwar verwende ich seit Längerem schon rein aus Gründen des Komforts die Zsh, jedoch bringt dies vom Sicherheitsaspekt aus betrachtet natürlich rein gar nichts, wenn die Bash aus Kompatibilitätsgründen nach wie vor geradezu systemimmanent installiert, vor allem aber auch gegen /bin/sh gelinkt sein muss.

ChrisJumper · Advocate Joined: 12 Mar 2005 Posts: 2390 Location: Germany

Danke schmidi, da trete ich dann nicht in die Falle! Aber genau das habe ich mich auch gefragt erst recht nachdem ich davon gelesen hatte das andere Distributionen das auch schon machen.

Aber wie schaut es denn mit dieser Enviroment Variable und parsing Sache aus? Hat Gentoo an so viel Stellen so viel Skripte die darauf angewiesen sind? fefe hatte wohl irgendwo einen patch der den ganzen Teil erst einmal auf Eis legt in der Vermutung das da noch mehr hoch kocht.

Doch diverse Fehler haben mir verdeutliche das ich keinen Kernel habe der Address Space Layout Randomization dafür muss ich mich die nächsten Wochen mal um einen sys-kernel/hardened-sources kümmern.

schmidicom · Veteran Joined: 09 Mar 2006 Posts: 1924 Location: Schweiz

Wäre portage die Fehlerquelle würde es wohl bei jedem Softwarepaket passieren, was nicht der Fall ist, weswegen ich die eigentliche Quelle eher in den Scripts vermuten würde welche jedem Softwarepaket beiliegen.
_________________
Lenovo - ThinkPad P16s Gen 2 - 21K9CTO1WW

mv · Watchman Joined: 20 Apr 2005 Posts: 6747

Ich habe seit vielen Jahren /bin/sh auf dash gelegt.
Ja, es gibt dumme Upstreams (und leider auch einige dumme Gentoo-Entwickler), die das immer wieder versaubeuteln, siehe meinen Rant "Bash bashing" in Gentoo Chat.
Aber so schlimm, wie Du es darstellst, ist es nun auch wieder nicht.
Bei kaputten make-systemen reicht meistens ein EXTRA_EMAKE='SHELL=/bin/bash'.
Ist zum Glück nicht so häufig: Insgesamt musste ich nur 5 Pakete (von meinen 1200 benutzten) so reparieren. php und apr-util sind aber nicht dabei, weil ich die zum Glück nicht brauche.

toralf · Posted: Wed Oct 08, 2014 3:56 pm Post subject:

kurisu · Posted: Mon Oct 13, 2014 9:02 pm Post subject:

Wie meinen? Jedenfalls kracht es in einigen wenigen Fällen, wenn /bin/sh nicht auf /bin/bash zeigt, wie auch hier im Thread illustriert.