Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Details und Tests zur aktuellen Bash-Sicherheitslücke: Shellshock

Information Sicherheit Erkennung und -Abwehr

Mitglied: Frank

Frank (Level 5) - Jetzt verbinden

26.09.2014, aktualisiert 02:06 Uhr, 4677 Aufrufe, 5 Kommentare, 2 Danke

Hier die wichtigsten Details zur aktuellen Bash-Sicherheitslücke Shellshock. Die GNU Bourne Again Shell (Bash) ist eine Kommandozeilen-Umgebung, die in vielen Unix- und Linux-Systemen eingesetzt wird (auch Mac OSX). Die Sicherheitslücke betrifft die Bash Versionen 1.14 bis 4.3 (also schon etwas länger).

In der CVE-Datenbank des NIST wird die Lücke mittlerweile mit der maximalen Gefährlichkeit von zehn Punkten eingestuft!

Aktuell gibt es einige Szenarien, wie die Sicherheitslücke aktiv ausgenutzt werden kann:


Das sind die Punkte, die ich bisher kenne. Wer weitere Szenarien kennt, kann diese hier posten und ich aktualisiere die Liste. Wichtig: Nicht betroffen sind andere Shells (z.B. Dash, ZSH, Ksh oder Busybox), auch dann, wenn sie den unten genannten Test nicht bestehen.

Lösung

Einen offiziellen Bash-Patch oder ein Update gibt es bisher noch nicht. Einige Linux-Distributionen liefern bereits aktualisierte Pakete mit einem experimentellen Patch aus (gerade getestet: Ubuntu 14.04.1 hat bereits ein Update erhalten). Dieser Patch beinhaltet allerdings einen neuen Fehler CVE-2014-7169.

Logfile Analyse

Um zu prüfen, ob es schon Angriffe auf den eigenen Server gab (z.B. über CGI-Scripts) können die Administratoren ihre Logs nach Muster-Einträgen durchsuchen. Typisch ist die Zeichenkette "};",

Beispiel Logeintrag (0.0.0.0 steht für eine IP-Adresse):
0.0.0.0 - - [25/Sep/2014:09:12:11 +0300] "GET /cgi-sys/defaultwebpage.cgi HTTP/1.0" 404 2311 "-" "() { :;}; /bin/ping -c 1 0.0.0.0"

System testen

Man kann sein System mit ein paar einfachen Befehlen testen:
test="() { echo Hello; }; echo Shellshock" bash -c ""
Wird anschließend der Text "Shellshock" ohne Fehler ausgegeben, ist man höchstwahrscheinlich betroffen.
Sieht die Ausgabe aber so aus, ist man nicht betroffen:
bash: Warnung: test: ignoring function definition attempt 
bash: Fehler beim Importieren der Funktionsdefinition für »test«.
Ein weiterer Test:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
Wird anschließend der Text "this is a test" ohne Fehler ausgegeben, ist man höchstwahrscheinlich betroffen. Erscheint folgendes, ist das System bereits gepatcht:
bash: Warnung: x: ignoring function definition attempt 
bash: Fehler beim Importieren der Funktionsdefinition für »x«. 
this is a test
Hier ein paar Tests für die zweite CVE-2014-7169:
env X='() { (a)=>\' sh -c "echo Shellshock is here"; cat echo
(X='() { (a)=>\' bash -c "echo ls /etc; cat echo")
Wer weitere Informationen oder Tests kennt: Bitte hier posten!

Gruß
Frank
Mitglied: wiesi200
26.09.2014 um 07:10 Uhr
Hallo,

also meine centos 6.5 Server hatten den Fehler. Nach einem update kommt jetzt auf den Befehl:

01.
test="() { echo Hello; }; echo Shellshock" bash -c ""
Überhaupt kein Reaktion mehr.
Bitte warten ..
Mitglied: KowaKowalski
26.09.2014 um 13:00 Uhr
Hi Frank,


mein Test-Raspi liefert beim ersten Test kein Ergebnis.
Der weitere Test (this is a test) liefert allerdings den Text ohne Fehler aus.


Also erster Test: alles i.O.
weiterer Test: höchstwahrscheinlich betroffen

Wie kann/soll ich denn das interpretieren?

grüße
kowa
Bitte warten ..
Mitglied: C.R.S.
28.09.2014 um 00:22 Uhr
Ein umfassendes Test-Skript von Hanno Böck (Golem): https://github.com/hannob/bashcheck
Bitte warten ..
Mitglied: KowaKowalski
28.09.2014 um 22:25 Uhr
Zitat von C.R.S.:

Ein umfassendes Test-Skript von Hanno Böck (Golem): https://github.com/hannob/bashcheck


bedankt,

dannach is der pi sauber


mfg
kowa
Bitte warten ..
Mitglied: C.R.S.
04.10.2014 um 21:46 Uhr
Shellshock via OpenVPN kursiert (remote, pre-auth): https://news.ycombinator.com/item?id=8385332
Bitte warten ..
Neuester Wissensbeitrag
Off Topic

"Ich habe nichts zu verbergen"

(2)

Erfahrungsbericht von FA-jka zum Thema Off Topic ...

Ähnliche Inhalte
Ubuntu
gelöst PHP-Version mit Bash in Variable schreiben? (11)

Frage von StefanKittel zum Thema Ubuntu ...

Hosting & Housing
Kritische Sicherheitslücke in der Webshop-Software Shopware

Link von Yannosch zum Thema Hosting & Housing ...

Erkennung und -Abwehr
Router: BSI warnt vor Sicherheitslücke in 60 Netgear-Modellen (4)

Link von Frank zum Thema Erkennung und -Abwehr ...

Heiß diskutierte Inhalte
Linux Netzwerk
gelöst DHCP vergibt keine Adressen (32)

Frage von Maik82 zum Thema Linux Netzwerk ...

CPU, RAM, Mainboards
Kaufberatung für mind. 8 verschiedene HighEnd-Mainboards (20)

Frage von yperiu zum Thema CPU, RAM, Mainboards ...

Mac OS X
Mac kann nicht im LAN pingen alle anderen schon (16)

Frage von smartino zum Thema Mac OS X ...

Hardware
gelöst PCI-Express-Adapterfrage (14)

Frage von DerWoWusste zum Thema Hardware ...