-
Pase unsicher?
Moin *all,
Die Sicherheitsabteilung eines Kunden hat uns darüber informiert:
Es geistern ja einige Meldungen über eine aktuelle Sicherheitslücke der BASH durchs Netz.
Hier https://access.redhat.com/articles/1200223
wird beschrieben wie man testen kann, ob man betroffen ist.
Wenn ich in qp2term diesen Test mache bekomme ich die angezeigten Meldungen, also: unsicher!
Und die wollen nun wissen was zu tun ist.
Bei IBM finde ich nix dazu.
Ist die iSeries betroffen?
Gibt es ein PTF?
Danke
Robi
bitte auch die Informationsquellen benennen!
Last edited by Robi; 30-09-14 at 08:46.
Grund: Brauche auch Quellenangaben
Das Notwendige steht über dem technisch machbaren.
(klingt komisch, funktioniert aber!)
-
Die Frage ist nun wieder, wie PASE dann und ob überhaupt benutzt wird.
Die Unsicherheit betrifft ausschließlich "exportierte Funktionen via Environment-Variablen".
Wird das in der Kundenumgebung genutzt?
Ist der Pase-Aufruf extern über das Internet zugänglich, denn von wo soll denn der Angriff kommen, wenn nicht von Extern?
Ich muss ja nun erst mal explizit einen CALL QP2TERM durchführen.
Die Hinweise deuten auf Linux/Unix-System hin, in denen diese Shell als Benutzeroberfläche (Kommando-Interface) verwendet wird.
Dies ist ja nun mit Pase definitiv nicht möglich.
An Stelle der Pase-Umgebung kann man ja nun auch einiges mit der QSH (QShell) verwenden.
-
... bash ist weder Bestandteil von AIX, noch der Pase Umgebung, sondern eine zusätzlich zu installierende Software, die mit AIX Toolbox for Linux (oder auch als Source portiert und gewandelt) installiert wird. Es sind nicht alle Versionen von bash betroffen; was die Toolbox angeht, gibt es da auch wohl patches für. Details auch unter: http://www-01.ibm.com/support/docvie...d=isg3T1021272
D*B
-
Ok, danke.
Dann werd ich ihm das mal so erzählen.
QP2Term wird in userer Software nicht gerufen, QSH aber.
Die AIX Toolbox for Linux haben wir auch nicht in Verwendung.
Und ein Komandozeileninterface benötigen wir auch nicht.
Hoffe das reicht Ihm dann so, ...
Gruß
Robi
-
Den rest muss er dann mit sich selber abklären, ggf. Pase deinstallieren.
-
Zitat von Robi
Ok, danke.
Dann werd ich ihm das mal so erzählen.
QP2Term wird in userer Software nicht gerufen, QSH aber.
Die AIX Toolbox for Linux haben wir auch nicht in Verwendung.
Und ein Komandozeileninterface benötigen wir auch nicht.
Hoffe das reicht Ihm dann so, ...
Gruß
Robi
... wenn da allerdings die "erwarteten" Meldungen kommen (und nicht irgendwas mit nicht gefunden), dann scheint die bash allerdings installiert zu sein und ich würde den empfohlenen update installieren.
D*B
-
Hallo @all,
ich kann euch beruhigen.
Wenn die BASH shell nicht manuell installiert wurde, ist PASE von dem Problem nicht betroffen.
Auf der IBM i läuft per default nur Korn- Bourne- und C-shell.
Auch alle anderen Applikationen von IBM (HTTPAdmin, WebSphere, OpenSSH) sind davon nicht betroffen.
Es gibt da auch ein Dokument von IBM, die Dokumentennummer ist N1020267.
Man muß aber im IBM Support Portal angemeldet sein.
MFG Zerberus
-
hier in diesem Link gibt es auch einen hilfreichen Vergleich
zwischen QSH und QP2TERM (PASE)
etwas nach unten scrollen .....
http://www.mcpressonline.com/tips-te...l-vs-pase.html
Similar Threads
-
By wdom in forum IBM i Hauptforum
Antworten: 2
Letzter Beitrag: 14-06-03, 09:38
-
By wdom in forum IBM i Hauptforum
Antworten: 0
Letzter Beitrag: 24-04-03, 14:02
Berechtigungen
- Neue Themen erstellen: Nein
- Themen beantworten: Nein
- You may not post attachments
- You may not edit your posts
-
Foren-Regeln
|
Erweiterte Foren Suche
Google Foren Suche
Forum & Artikel Update eMail
AS/400 / IBM i
Server Expert Gruppen
Unternehmens IT
|
Kategorien online Artikel
- Big Data, Analytics, BI, MIS
- Cloud, Social Media, Devices
- DMS, Archivierung, Druck
- ERP + Add-ons, Business Software
- Hochverfügbarkeit
- Human Resources, Personal
- IBM Announcements
- IT-Karikaturen
- Leitartikel
- Load`n`go
- Messen, Veranstaltungen
- NEWSolutions Dossiers
- Programmierung
- Security
- Software Development + Change Mgmt.
- Solutions & Provider
- Speicher – Storage
- Strategische Berichte
- Systemmanagement
- Tools, Hot-Tips
Auf dem Laufenden bleiben
|
Bookmarks