Der vor kurzem entdeckte "Shellshock" Fehler in Linux-Betriebssystemen stellt ein Risiko für Cryptshare 2 Server dar. Ein Bugfix ist ab sofort verfügbar, der auf allen Cryptshare 2 und 3 Hardware und virtuellen Appliances installiert werden sollte.

Der kürzlich entdeckte Shellshock Fehler in einer großen Anzahl von Linux-Betriebssystemen wirkt sich auch auf das OpenSUSE-Betriebssystem von Cryptshare Hardware und Virtual Appliances aus. Cryptshare 3 Server sind grundsätzlich immun gegen die bekannten Angriffszenarien auf Basis dieser Sicherheitslücke, wenn sie nach unseren Empfehlungen konfiguriert und betrieben werden. So ist bspw. der Apache-Web-Server auf diesen Maschinen nicht gestartet und Bash kann nicht von außen erreichbar werden.
Cryptshare 2 Server dagegen sind auf ein Update des Betriebssystems angewiesen.

OpenSUSE hat inzwischenein entsprechendes Update zur Verfügung gestellt. Dieses wurde von uns erfolgreich auf Kompatibilität mit Cryptshare getestet. Um das Update zu verteilen, wurden die Cryptshare Appliance Repositories dementsprechend aktualisiert. Im Zuge des regulären Cryptshare Appliance Updatezyklus wird das relevante Update erst nach einem zweiten Durchlauf des Updatevorganges installiert. Um die Sicherheitslücke unmittelbar zu schließen, wird daher empfohlen das Update manuell durchzuführen. Bitte führen Sie dafür die folgenden Schritte in der Konsole durch:

  • zypper refresh
  • zypper up -t patch
  • Ein weiteres Mal 'zypper up -t patch'

Zur Überprüfung ob der Patch erfolgreich angewendet wurde können Sie das Kommando 'env x='() { :;}; echo Verwundbar' bash -c "echo Dies ist ein Test"' eingeben. Taucht das Wort 'Verwundbar' nicht in der Ausgabe auf, so wurde der Patch erfolgreich installiert.

Wenn Sie Cryptshare manuell auf einem Linux-Betriebssystem installiert haben, wenden Sie sich bitte an den Hersteller des Betriebssystems bezüglich eines Patches und installieren Sie den Patch nach Anweisungen des Herstellers.

Wenn Sie Cryptshare manuell auf einem Windows-Betriebssystem installiert haben, existiert die Sicherheitslücke nicht auf Ihrem Cryptshare Server, egal welche Version von Cryptshare Sie verwenden.