Pase unsicher?

[Robi]

Moin *all,
Die Sicherheitsabteilung eines Kunden hat uns darüber informiert:

Es geistern ja einige Meldungen über eine aktuelle Sicherheitslücke der BASH durchs Netz.

Hier https://access.redhat.com/articles/1200223
wird beschrieben wie man testen kann, ob man betroffen ist.

Wenn ich in qp2term diesen Test mache bekomme ich die angezeigten Meldungen, also: unsicher!

Und die wollen nun wissen was zu tun ist.
Bei IBM finde ich nix dazu.
Ist die iSeries betroffen?
Gibt es ein PTF?

Danke
Robi

bitte auch die Informationsquellen benennen!

[Fuerchau]

Die Frage ist nun wieder, wie PASE dann und ob überhaupt benutzt wird.
Die Unsicherheit betrifft ausschließlich "exportierte Funktionen via Environment-Variablen".

Wird das in der Kundenumgebung genutzt?
Ist der Pase-Aufruf extern über das Internet zugänglich, denn von wo soll denn der Angriff kommen, wenn nicht von Extern?

Ich muss ja nun erst mal explizit einen CALL QP2TERM durchführen.

Die Hinweise deuten auf Linux/Unix-System hin, in denen diese Shell als Benutzeroberfläche (Kommando-Interface) verwendet wird.
Dies ist ja nun mit Pase definitiv nicht möglich.

An Stelle der Pase-Umgebung kann man ja nun auch einiges mit der QSH (QShell) verwenden.

[BenderD]

... bash ist weder Bestandteil von AIX, noch der Pase Umgebung, sondern eine zusätzlich zu installierende Software, die mit AIX Toolbox for Linux (oder auch als Source portiert und gewandelt) installiert wird. Es sind nicht alle Versionen von bash betroffen; was die Toolbox angeht, gibt es da auch wohl patches für. Details auch unter: http://www-01.ibm.com/support/docvie...d=isg3T1021272

D*B

[Robi]

Ok, danke.
Dann werd ich ihm das mal so erzählen.
QP2Term wird in userer Software nicht gerufen, QSH aber.
Die AIX Toolbox for Linux haben wir auch nicht in Verwendung.
Und ein Komandozeileninterface benötigen wir auch nicht.

Hoffe das reicht Ihm dann so, ...

Gruß
Robi

[Fuerchau]

Den rest muss er dann mit sich selber abklären, ggf. Pase deinstallieren.

[BenderD]

Ok, danke.
Dann werd ich ihm das mal so erzählen.
QP2Term wird in userer Software nicht gerufen, QSH aber.
Die AIX Toolbox for Linux haben wir auch nicht in Verwendung.
Und ein Komandozeileninterface benötigen wir auch nicht.

Hoffe das reicht Ihm dann so, ...

Gruß
Robi

... wenn da allerdings die "erwarteten" Meldungen kommen (und nicht irgendwas mit nicht gefunden), dann scheint die bash allerdings installiert zu sein und ich würde den empfohlenen update installieren.

D*B

[Zerberus77]

Hallo @all,

ich kann euch beruhigen.
Wenn die BASH shell nicht manuell installiert wurde, ist PASE von dem Problem nicht betroffen.
Auf der IBM i läuft per default nur Korn- Bourne- und C-shell.
Auch alle anderen Applikationen von IBM (HTTPAdmin, WebSphere, OpenSSH) sind davon nicht betroffen.

Es gibt da auch ein Dokument von IBM, die Dokumentennummer ist N1020267.
Man muß aber im IBM Support Portal angemeldet sein.


MFG Zerberus

[COS]

hier in diesem Link gibt es auch einen hilfreichen Vergleich
zwischen QSH und QP2TERM (PASE)

etwas nach unten scrollen .....

http://www.mcpressonline.com/tips-te...l-vs-pase.html