PDA

View Full Version : Pase unsicher?


Robi
30-09-14, 08:41
Moin *all,
Die Sicherheitsabteilung eines Kunden hat uns darüber informiert:


Es geistern ja einige Meldungen über eine aktuelle Sicherheitslücke der BASH durchs Netz.

Hier https://access.redhat.com/articles/1200223
wird beschrieben wie man testen kann, ob man betroffen ist.

Wenn ich in qp2term diesen Test mache bekomme ich die angezeigten Meldungen, also: unsicher!


Und die wollen nun wissen was zu tun ist.
Bei IBM finde ich nix dazu.
Ist die iSeries betroffen?
Gibt es ein PTF?

Danke
Robi

bitte auch die Informationsquellen benennen!
Fuerchau
30-09-14, 10:17
Die Frage ist nun wieder, wie PASE dann und ob überhaupt benutzt wird.
Die Unsicherheit betrifft ausschließlich "exportierte Funktionen via Environment-Variablen".

Wird das in der Kundenumgebung genutzt?
Ist der Pase-Aufruf extern über das Internet zugänglich, denn von wo soll denn der Angriff kommen, wenn nicht von Extern?

Ich muss ja nun erst mal explizit einen CALL QP2TERM durchführen.

Die Hinweise deuten auf Linux/Unix-System hin, in denen diese Shell als Benutzeroberfläche (Kommando-Interface) verwendet wird.
Dies ist ja nun mit Pase definitiv nicht möglich.

An Stelle der Pase-Umgebung kann man ja nun auch einiges mit der QSH (QShell) verwenden.
BenderD
30-09-14, 10:30
... bash ist weder Bestandteil von AIX, noch der Pase Umgebung, sondern eine zusätzlich zu installierende Software, die mit AIX Toolbox for Linux (oder auch als Source portiert und gewandelt) installiert wird. Es sind nicht alle Versionen von bash betroffen; was die Toolbox angeht, gibt es da auch wohl patches für. Details auch unter: http://www-01.ibm.com/support/docview.wss?uid=isg3T1021272

D*B
Robi
30-09-14, 12:53
Ok, danke.
Dann werd ich ihm das mal so erzählen.
QP2Term wird in userer Software nicht gerufen, QSH aber.
Die AIX Toolbox for Linux haben wir auch nicht in Verwendung.
Und ein Komandozeileninterface benötigen wir auch nicht.

Hoffe das reicht Ihm dann so, ...

Gruß
Robi
Fuerchau
30-09-14, 13:00
Den rest muss er dann mit sich selber abklären, ggf. Pase deinstallieren.
BenderD
30-09-14, 13:11
Ok, danke.
Dann werd ich ihm das mal so erzählen.
QP2Term wird in userer Software nicht gerufen, QSH aber.
Die AIX Toolbox for Linux haben wir auch nicht in Verwendung.
Und ein Komandozeileninterface benötigen wir auch nicht.

Hoffe das reicht Ihm dann so, ...

Gruß
Robi

... wenn da allerdings die "erwarteten" Meldungen kommen (und nicht irgendwas mit nicht gefunden), dann scheint die bash allerdings installiert zu sein und ich würde den empfohlenen update installieren.

D*B
Zerberus77
30-09-14, 19:09
Hallo @all,

ich kann euch beruhigen.
Wenn die BASH shell nicht manuell installiert wurde, ist PASE von dem Problem nicht betroffen.
Auf der IBM i läuft per default nur Korn- Bourne- und C-shell.
Auch alle anderen Applikationen von IBM (HTTPAdmin, WebSphere, OpenSSH) sind davon nicht betroffen.

Es gibt da auch ein Dokument von IBM, die Dokumentennummer ist N1020267.
Man muß aber im IBM Support Portal angemeldet sein.


MFG Zerberus
COS
08-10-14, 11:54
hier in diesem Link gibt es auch einen hilfreichen Vergleich
zwischen QSH und QP2TERM (PASE)

etwas nach unten scrollen .....

http://www.mcpressonline.com/tips-techniques/programming/techtip-qshell-vs-pase.html