5
Details und Tests zur aktuellen Bash-Sicherheitslücke: Shellshock
Hier die wichtigsten Details zur aktuellen Bash-Sicherheitslücke Shellshock. Die GNU Bourne Again Shell (Bash) ist eine Kommandozeilen-Umgebung, die in vielen Unix- und Linux-Systemen eingesetzt wird (auch Mac OSX). Die Sicherheitslücke betrifft die Bash Versionen 1.14 bis 4.3 (also schon etwas länger).
In der CVE-Datenbank des NIST wird die Lücke mittlerweile mit der maximalen Gefährlichkeit von zehn Punkten eingestuft!
Aktuell gibt es einige Szenarien, wie die Sicherheitslücke aktiv ausgenutzt werden kann:
Das sind die Punkte, die ich bisher kenne. Wer weitere Szenarien kennt, kann diese hier posten und ich aktualisiere die Liste. Wichtig: Nicht betroffen sind andere Shells (z.B. Dash, ZSH, Ksh oder Busybox), auch dann, wenn sie den unten genannten Test nicht bestehen.
Einen offiziellen Bash-Patch oder ein Update gibt es bisher noch nicht. Einige Linux-Distributionen liefern bereits aktualisierte Pakete mit einem experimentellen Patch aus (gerade getestet: Ubuntu 14.04.1 hat bereits ein Update erhalten). Dieser Patch beinhaltet allerdings einen neuen Fehler CVE-2014-7169.
Um zu prüfen, ob es schon Angriffe auf den eigenen Server gab (z.B. über CGI-Scripts) können die Administratoren ihre Logs nach Muster-Einträgen durchsuchen. Typisch ist die Zeichenkette "};",
Beispiel Logeintrag (0.0.0.0 steht für eine IP-Adresse):
Man kann sein System mit ein paar einfachen Befehlen testen:
Wird anschließend der Text "Shellshock" ohne Fehler ausgegeben, ist man höchstwahrscheinlich betroffen.
Sieht die Ausgabe aber so aus, ist man nicht betroffen:
Ein weiterer Test:
Wird anschließend der Text "this is a test" ohne Fehler ausgegeben, ist man höchstwahrscheinlich betroffen. Erscheint folgendes, ist das System bereits gepatcht:
Hier ein paar Tests für die zweite CVE-2014-7169:
Wer weitere Informationen oder Tests kennt: Bitte hier posten!
Gruß
Frank
In der CVE-Datenbank des NIST wird die Lücke mittlerweile mit der maximalen Gefährlichkeit von zehn Punkten eingestuft!
Aktuell gibt es einige Szenarien, wie die Sicherheitslücke aktiv ausgenutzt werden kann:
- Eines der größten Probleme stellen CGI-Skripte auf Webservern dar. Es gibt CGI-Skripte, die direkt in der Bash Sprache geschrieben wurden. Auch rufen verschiedene Programmiersprachen bei Systemaufrufen die Bash auf.
- SSH-Shells, die auf bestimmte Befehle beschränkt sind (z.B. Git- und CVS-Server), können durch Shellshock ausgehebelt werden.
- Manche DHCP-Clients rufen eine Bash auf und setzen dabei Variablen, die sich vom DHCP-Server kontrollieren lassen.
- Der Druckerdaemon CUPS kann ausgenutzt werden.
- Unter VMWare Fusion für Mac OSX ist ein Ausbrechen aus einer virtuellen Maschine möglich
- Das Webinterfaces der BIG-IP-Loadbalancer der Firma F5 ist anfällig
- ...
Das sind die Punkte, die ich bisher kenne. Wer weitere Szenarien kennt, kann diese hier posten und ich aktualisiere die Liste. Wichtig: Nicht betroffen sind andere Shells (z.B. Dash, ZSH, Ksh oder Busybox), auch dann, wenn sie den unten genannten Test nicht bestehen.
Lösung
Einen offiziellen Bash-Patch oder ein Update gibt es bisher noch nicht. Einige Linux-Distributionen liefern bereits aktualisierte Pakete mit einem experimentellen Patch aus (gerade getestet: Ubuntu 14.04.1 hat bereits ein Update erhalten). Dieser Patch beinhaltet allerdings einen neuen Fehler CVE-2014-7169.Logfile Analyse
Um zu prüfen, ob es schon Angriffe auf den eigenen Server gab (z.B. über CGI-Scripts) können die Administratoren ihre Logs nach Muster-Einträgen durchsuchen. Typisch ist die Zeichenkette "};",Beispiel Logeintrag (0.0.0.0 steht für eine IP-Adresse):
0.0.0.0 - - [25/Sep/2014:09:12:11 +0300] "GET /cgi-sys/defaultwebpage.cgi HTTP/1.0" 404 2311 "-" "() { :;}; /bin/ping -c 1 0.0.0.0"System testen
Man kann sein System mit ein paar einfachen Befehlen testen:test="() { echo Hello; }; echo Shellshock" bash -c ""Sieht die Ausgabe aber so aus, ist man nicht betroffen:
bash: Warnung: test: ignoring function definition attempt
bash: Fehler beim Importieren der Funktionsdefinition für »test«.Ein weiterer Test:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"bash: Warnung: x: ignoring function definition attempt
bash: Fehler beim Importieren der Funktionsdefinition für »x«.
this is a testHier ein paar Tests für die zweite CVE-2014-7169:
env X='() { (a)=>\' sh -c "echo Shellshock is here"; cat echo(X='() { (a)=>\' bash -c "echo ls /etc; cat echo")Wer weitere Informationen oder Tests kennt: Bitte hier posten!
Gruß
Frank
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 250174
Url: https://administrator.de/contentid/250174
Printed on: April 24, 2024 at 06:04 o'clock
5 Comments
Latest comment
Hallo,
also meine centos 6.5 Server hatten den Fehler. Nach einem update kommt jetzt auf den Befehl:
Überhaupt kein Reaktion mehr.
also meine centos 6.5 Server hatten den Fehler. Nach einem update kommt jetzt auf den Befehl:
test="() { echo Hello; }; echo Shellshock" bash -c "" 
Hi Frank,
mein Test-Raspi liefert beim ersten Test kein Ergebnis.
Der weitere Test (this is a test) liefert allerdings den Text ohne Fehler aus.
Also erster Test: alles i.O.
weiterer Test: höchstwahrscheinlich betroffen
Wie kann/soll ich denn das interpretieren?
grüße
kowa
mein Test-Raspi liefert beim ersten Test kein Ergebnis.
Der weitere Test (this is a test) liefert allerdings den Text ohne Fehler aus.
Also erster Test: alles i.O.
weiterer Test: höchstwahrscheinlich betroffen
Wie kann/soll ich denn das interpretieren?
grüße
kowa
Ein umfassendes Test-Skript von Hanno Böck (Golem): https://github.com/hannob/bashcheck
Zitat von @c.r.s.:
Ein umfassendes Test-Skript von Hanno Böck (Golem): https://github.com/hannob/bashcheck
Ein umfassendes Test-Skript von Hanno Böck (Golem): https://github.com/hannob/bashcheck
bedankt,
dannach is der pi sauber
mfg
kowa
Shellshock via OpenVPN kursiert (remote, pre-auth): https://news.ycombinator.com/item?id=8385332
