Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Details und Tests zur aktuellen Bash-Sicherheitslücke: Shellshock

Information Sicherheit Erkennung und -Abwehr

Mitglied: Frank

Frank (Level 5) - Jetzt verbinden

26.09.2014, aktualisiert 02:06 Uhr, 4625 Aufrufe, 5 Kommentare, 2 Danke

Hier die wichtigsten Details zur aktuellen Bash-Sicherheitslücke Shellshock. Die GNU Bourne Again Shell (Bash) ist eine Kommandozeilen-Umgebung, die in vielen Unix- und Linux-Systemen eingesetzt wird (auch Mac OSX). Die Sicherheitslücke betrifft die Bash Versionen 1.14 bis 4.3 (also schon etwas länger).

In der CVE-Datenbank des NIST wird die Lücke mittlerweile mit der maximalen Gefährlichkeit von zehn Punkten eingestuft!

Aktuell gibt es einige Szenarien, wie die Sicherheitslücke aktiv ausgenutzt werden kann:


Das sind die Punkte, die ich bisher kenne. Wer weitere Szenarien kennt, kann diese hier posten und ich aktualisiere die Liste. Wichtig: Nicht betroffen sind andere Shells (z.B. Dash, ZSH, Ksh oder Busybox), auch dann, wenn sie den unten genannten Test nicht bestehen.

Lösung

Einen offiziellen Bash-Patch oder ein Update gibt es bisher noch nicht. Einige Linux-Distributionen liefern bereits aktualisierte Pakete mit einem experimentellen Patch aus (gerade getestet: Ubuntu 14.04.1 hat bereits ein Update erhalten). Dieser Patch beinhaltet allerdings einen neuen Fehler CVE-2014-7169.

Logfile Analyse

Um zu prüfen, ob es schon Angriffe auf den eigenen Server gab (z.B. über CGI-Scripts) können die Administratoren ihre Logs nach Muster-Einträgen durchsuchen. Typisch ist die Zeichenkette "};",

Beispiel Logeintrag (0.0.0.0 steht für eine IP-Adresse):
0.0.0.0 - - [25/Sep/2014:09:12:11 +0300] "GET /cgi-sys/defaultwebpage.cgi HTTP/1.0" 404 2311 "-" "() { :;}; /bin/ping -c 1 0.0.0.0"

System testen

Man kann sein System mit ein paar einfachen Befehlen testen:
test="() { echo Hello; }; echo Shellshock" bash -c ""
Wird anschließend der Text "Shellshock" ohne Fehler ausgegeben, ist man höchstwahrscheinlich betroffen.
Sieht die Ausgabe aber so aus, ist man nicht betroffen:
bash: Warnung: test: ignoring function definition attempt 
bash: Fehler beim Importieren der Funktionsdefinition für »test«.
Ein weiterer Test:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
Wird anschließend der Text "this is a test" ohne Fehler ausgegeben, ist man höchstwahrscheinlich betroffen. Erscheint folgendes, ist das System bereits gepatcht:
bash: Warnung: x: ignoring function definition attempt 
bash: Fehler beim Importieren der Funktionsdefinition für »x«. 
this is a test
Hier ein paar Tests für die zweite CVE-2014-7169:
env X='() { (a)=>\' sh -c "echo Shellshock is here"; cat echo
(X='() { (a)=>\' bash -c "echo ls /etc; cat echo")
Wer weitere Informationen oder Tests kennt: Bitte hier posten!

Gruß
Frank
Mitglied: wiesi200
26.09.2014 um 07:10 Uhr
Hallo,

also meine centos 6.5 Server hatten den Fehler. Nach einem update kommt jetzt auf den Befehl:

01.
test="() { echo Hello; }; echo Shellshock" bash -c ""
Überhaupt kein Reaktion mehr.
Bitte warten ..
Mitglied: KowaKowalski
26.09.2014 um 13:00 Uhr
Hi Frank,


mein Test-Raspi liefert beim ersten Test kein Ergebnis.
Der weitere Test (this is a test) liefert allerdings den Text ohne Fehler aus.


Also erster Test: alles i.O.
weiterer Test: höchstwahrscheinlich betroffen

Wie kann/soll ich denn das interpretieren?

grüße
kowa
Bitte warten ..
Mitglied: C.R.S.
28.09.2014 um 00:22 Uhr
Ein umfassendes Test-Skript von Hanno Böck (Golem): https://github.com/hannob/bashcheck
Bitte warten ..
Mitglied: KowaKowalski
28.09.2014 um 22:25 Uhr
Zitat von C.R.S.:

Ein umfassendes Test-Skript von Hanno Böck (Golem): https://github.com/hannob/bashcheck


bedankt,

dannach is der pi sauber


Mit freundlichen Grüßen
kowa
Bitte warten ..
Mitglied: C.R.S.
04.10.2014 um 21:46 Uhr
Shellshock via OpenVPN kursiert (remote, pre-auth): https://news.ycombinator.com/item?id=8385332
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Netzwerkmanagement
gelöst Nicht aktuellen Rechnern den Zugang verweigern (10)

Frage von ganymed zum Thema Netzwerkmanagement ...

Microsoft
Neue Sicherheitslücke in Windows - patch erst in einer Woche (1)

Link von keine-ahnung zum Thema Microsoft ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...