Wheezy veraltet?

10/11/2014 - 18:54 von Magnus Warker | Report spam
Hi,

nachdem ich mir letztens auf meinem Heimrechner Grafikprobleme
eingehandelt habe, die auf einen verfrühten Wechsel auf Debian Jessie
zurück geführt wurden, kommt jetzt mein Server Provider und sagt, mein
Wheezy-System sei veraltet:

"Am 26.09.2014 haben wir Sie per E-Mail und im Kundenservicebereich über
eine als kritisch eingestufte Sicherheitslücke in der Unix-Shell Bash
informiert.

Leider mussten wir feststellen, dass Ihr Server immer noch verwundbar
ist und unsere Infrastruktur gefàhrden könnte.

Sie setzen ein altes Betriebssystem auf Ihrem Server ein, das nicht mehr
durch Sicherheitsupdates unterstützt wird. Daher raten wir Ihnen
dringend, Ihr Betriebssystem neu zu installieren."

Im Übrigen ergibt der Test Entwarnung:

$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
this is a test

Wheezy ist doch die aktuelle stabile Version.
Wie seht Ihr das?

Magnus

PS: Ich habe den Server vor einigen Jahren aufgesetzt. Dabei musste ich
über die Server-Konfigurations-Schnittstelle ein damals aktuelles Debian
installieren. Könnte es sein, dass diese damalige Version irgendwo
hinterlegt wurde und jetzt als Ist-Installation angenommen wurde? Nur so
eine Idee...
 

Lesen sie die antworten

#1 Sven Hartge
10/11/2014 - 19:02 | Warnen spam
Magnus Warker wrote:

nachdem ich mir letztens auf meinem Heimrechner Grafikprobleme
eingehandelt habe, die auf einen verfrühten Wechsel auf Debian Jessie
zurück geführt wurden, kommt jetzt mein Server Provider und sagt, mein
Wheezy-System sei veraltet:

"Am 26.09.2014 haben wir Sie per E-Mail und im Kundenservicebereich
über eine als kritisch eingestufte Sicherheitslücke in der Unix-Shell
Bash informiert.

Leider mussten wir feststellen, dass Ihr Server immer noch verwundbar
ist und unsere Infrastruktur gefàhrden könnte.

Sie setzen ein altes Betriebssystem auf Ihrem Server ein, das nicht mehr
durch Sicherheitsupdates unterstützt wird. Daher raten wir Ihnen
dringend, Ihr Betriebssystem neu zu installieren."



Was für eine Art Server ist das? Ein physikalischer Root-Server oder
eine virtuelle Instanz, z.B. via Virtuozzo oder OpenVZ?

Bei ersterem wàre es sehr interessant, wie der Provider das sehen können
will, ohne sich selbst in deinen Server als root einzuloggen.

Wheezy ist doch die aktuelle stabile Version.
Wie seht Ihr das?



Hast du alle Security Updates eingespielt? Wenn ja, dann teile das
deinem Provider mit und frage ihn, wie er darauf kommt, dass dein Server
verwundbar wàre.

Oftmals sind die Tests, die sich von extern fahren lassen, sehr
eingeschrànkt und erfassen z.B. nur Versionsnummern von Programmen, aber
nicht den Fakt, dass Distributionen Fehlerbehebungs-Patches
zurückportieren.

So wirst du z.B. sehr viele Server-Sicherheits-Tests dort draussen im
Internet finden, die dich davor warnen, dein Apache-Webserver wàre
unsicher, weil nur geprüft wird, ob die Server-Version größer/gleich wie die
Version ist, in der der Fehler behoben wurde, ohne zu sehen, dass alle
Distributionen den Fehler in ihrer eigenen Release-Version natürlich
auch behoben haben.



Sigmentation fault. Core dumped.

Ähnliche fragen