Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Details und Tests zur aktuellen Bash-Sicherheitslücke: Shellshock

Information Sicherheit Erkennung und -Abwehr

Mitglied: Frank

Frank (Level 5) - Jetzt verbinden

26.09.2014, aktualisiert 02:06 Uhr, 4708 Aufrufe, 5 Kommentare, 2 Danke

Hier die wichtigsten Details zur aktuellen Bash-Sicherheitslücke Shellshock. Die GNU Bourne Again Shell (Bash) ist eine Kommandozeilen-Umgebung, die in vielen Unix- und Linux-Systemen eingesetzt wird (auch Mac OSX). Die Sicherheitslücke betrifft die Bash Versionen 1.14 bis 4.3 (also schon etwas länger).

In der CVE-Datenbank des NIST wird die Lücke mittlerweile mit der maximalen Gefährlichkeit von zehn Punkten eingestuft!

Aktuell gibt es einige Szenarien, wie die Sicherheitslücke aktiv ausgenutzt werden kann:


Das sind die Punkte, die ich bisher kenne. Wer weitere Szenarien kennt, kann diese hier posten und ich aktualisiere die Liste. Wichtig: Nicht betroffen sind andere Shells (z.B. Dash, ZSH, Ksh oder Busybox), auch dann, wenn sie den unten genannten Test nicht bestehen.

Lösung

Einen offiziellen Bash-Patch oder ein Update gibt es bisher noch nicht. Einige Linux-Distributionen liefern bereits aktualisierte Pakete mit einem experimentellen Patch aus (gerade getestet: Ubuntu 14.04.1 hat bereits ein Update erhalten). Dieser Patch beinhaltet allerdings einen neuen Fehler CVE-2014-7169.

Logfile Analyse

Um zu prüfen, ob es schon Angriffe auf den eigenen Server gab (z.B. über CGI-Scripts) können die Administratoren ihre Logs nach Muster-Einträgen durchsuchen. Typisch ist die Zeichenkette "};",

Beispiel Logeintrag (0.0.0.0 steht für eine IP-Adresse):
0.0.0.0 - - [25/Sep/2014:09:12:11 +0300] "GET /cgi-sys/defaultwebpage.cgi HTTP/1.0" 404 2311 "-" "() { :;}; /bin/ping -c 1 0.0.0.0"

System testen

Man kann sein System mit ein paar einfachen Befehlen testen:
test="() { echo Hello; }; echo Shellshock" bash -c ""
Wird anschließend der Text "Shellshock" ohne Fehler ausgegeben, ist man höchstwahrscheinlich betroffen.
Sieht die Ausgabe aber so aus, ist man nicht betroffen:
bash: Warnung: test: ignoring function definition attempt 
bash: Fehler beim Importieren der Funktionsdefinition für »test«.
Ein weiterer Test:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
Wird anschließend der Text "this is a test" ohne Fehler ausgegeben, ist man höchstwahrscheinlich betroffen. Erscheint folgendes, ist das System bereits gepatcht:
bash: Warnung: x: ignoring function definition attempt 
bash: Fehler beim Importieren der Funktionsdefinition für »x«. 
this is a test
Hier ein paar Tests für die zweite CVE-2014-7169:
env X='() { (a)=>\' sh -c "echo Shellshock is here"; cat echo
(X='() { (a)=>\' bash -c "echo ls /etc; cat echo")
Wer weitere Informationen oder Tests kennt: Bitte hier posten!

Gruß
Frank
Mitglied: wiesi200
26.09.2014 um 07:10 Uhr
Hallo,

also meine centos 6.5 Server hatten den Fehler. Nach einem update kommt jetzt auf den Befehl:

01.
test="() { echo Hello; }; echo Shellshock" bash -c ""
Überhaupt kein Reaktion mehr.
Bitte warten ..
Mitglied: KowaKowalski
26.09.2014 um 13:00 Uhr
Hi Frank,


mein Test-Raspi liefert beim ersten Test kein Ergebnis.
Der weitere Test (this is a test) liefert allerdings den Text ohne Fehler aus.


Also erster Test: alles i.O.
weiterer Test: höchstwahrscheinlich betroffen

Wie kann/soll ich denn das interpretieren?

grüße
kowa
Bitte warten ..
Mitglied: C.R.S.
28.09.2014 um 00:22 Uhr
Ein umfassendes Test-Skript von Hanno Böck (Golem): https://github.com/hannob/bashcheck
Bitte warten ..
Mitglied: KowaKowalski
28.09.2014 um 22:25 Uhr
Zitat von C.R.S.:

Ein umfassendes Test-Skript von Hanno Böck (Golem): https://github.com/hannob/bashcheck


bedankt,

dannach is der pi sauber


mfg
kowa
Bitte warten ..
Mitglied: C.R.S.
04.10.2014 um 21:46 Uhr
Shellshock via OpenVPN kursiert (remote, pre-auth): https://news.ycombinator.com/item?id=8385332
Bitte warten ..
Ähnliche Inhalte
Linux Tools
gelöst Bash Script contains Bilden und nutzen (19)

Frage von OIOOIOOIOIIOOOIIOIIOIOOO zum Thema Linux Tools ...

Erkennung und -Abwehr
Dramatische Sicherheitslücke in Virenschutz-Software von Windows geschlossen (8)

Link von Lochkartenstanzer zum Thema Erkennung und -Abwehr ...

Router & Routing
Kritische Sicherheitslücke: Angreifer könnten Router von Cisco kapern (1)

Link von magicteddy zum Thema Router & Routing ...

Erkennung und -Abwehr
Handhabung Sicherheitslücke im Intel ME (4)

Frage von rudeboy zum Thema Erkennung und -Abwehr ...

Neue Wissensbeiträge
Tipps & Tricks

Wie Hackt man sich am besten in ein Computernetzwerk ein

(29)

Erfahrungsbericht von Herbrich19 zum Thema Tipps & Tricks ...

Humor (lol)

Bester Vorschlag eines Supporttechnikers ever: APC

(15)

Erfahrungsbericht von DerWoWusste zum Thema Humor (lol) ...

Windows Server

Exchange 2010 Active Directory und Windows Server 2016

(4)

Erfahrungsbericht von Herbrich19 zum Thema Windows Server ...

Heiß diskutierte Inhalte
Internet
gelöst Mitarbeiter surft auf unerwünschter Seite - Wie damit umgehen? (44)

Frage von sabines zum Thema Internet ...

Netzwerke
Wie erstelle ich ein Intranet (19)

Frage von Leonardnet zum Thema Netzwerke ...

Netzwerke
VPN-Server einrichten PPTPD-Einrichtung gescheitert (15)

Frage von MIlexx zum Thema Netzwerke ...

LAN, WAN, Wireless
gelöst Eintägige Netzwerkunterbrechung trotz Backupleitung (15)

Frage von iAmbricksta zum Thema LAN, WAN, Wireless ...