Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Details und Tests zur aktuellen Bash-Sicherheitslücke: Shellshock

Information Sicherheit Erkennung und -Abwehr

Mitglied: Frank

Frank (Level 5) - Jetzt verbinden

26.09.2014, aktualisiert 02:06 Uhr, 4688 Aufrufe, 5 Kommentare, 2 Danke

Hier die wichtigsten Details zur aktuellen Bash-Sicherheitslücke Shellshock. Die GNU Bourne Again Shell (Bash) ist eine Kommandozeilen-Umgebung, die in vielen Unix- und Linux-Systemen eingesetzt wird (auch Mac OSX). Die Sicherheitslücke betrifft die Bash Versionen 1.14 bis 4.3 (also schon etwas länger).

In der CVE-Datenbank des NIST wird die Lücke mittlerweile mit der maximalen Gefährlichkeit von zehn Punkten eingestuft!

Aktuell gibt es einige Szenarien, wie die Sicherheitslücke aktiv ausgenutzt werden kann:


Das sind die Punkte, die ich bisher kenne. Wer weitere Szenarien kennt, kann diese hier posten und ich aktualisiere die Liste. Wichtig: Nicht betroffen sind andere Shells (z.B. Dash, ZSH, Ksh oder Busybox), auch dann, wenn sie den unten genannten Test nicht bestehen.

Lösung

Einen offiziellen Bash-Patch oder ein Update gibt es bisher noch nicht. Einige Linux-Distributionen liefern bereits aktualisierte Pakete mit einem experimentellen Patch aus (gerade getestet: Ubuntu 14.04.1 hat bereits ein Update erhalten). Dieser Patch beinhaltet allerdings einen neuen Fehler CVE-2014-7169.

Logfile Analyse

Um zu prüfen, ob es schon Angriffe auf den eigenen Server gab (z.B. über CGI-Scripts) können die Administratoren ihre Logs nach Muster-Einträgen durchsuchen. Typisch ist die Zeichenkette "};",

Beispiel Logeintrag (0.0.0.0 steht für eine IP-Adresse):
0.0.0.0 - - [25/Sep/2014:09:12:11 +0300] "GET /cgi-sys/defaultwebpage.cgi HTTP/1.0" 404 2311 "-" "() { :;}; /bin/ping -c 1 0.0.0.0"

System testen

Man kann sein System mit ein paar einfachen Befehlen testen:
test="() { echo Hello; }; echo Shellshock" bash -c ""
Wird anschließend der Text "Shellshock" ohne Fehler ausgegeben, ist man höchstwahrscheinlich betroffen.
Sieht die Ausgabe aber so aus, ist man nicht betroffen:
bash: Warnung: test: ignoring function definition attempt 
bash: Fehler beim Importieren der Funktionsdefinition für »test«.
Ein weiterer Test:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
Wird anschließend der Text "this is a test" ohne Fehler ausgegeben, ist man höchstwahrscheinlich betroffen. Erscheint folgendes, ist das System bereits gepatcht:
bash: Warnung: x: ignoring function definition attempt 
bash: Fehler beim Importieren der Funktionsdefinition für »x«. 
this is a test
Hier ein paar Tests für die zweite CVE-2014-7169:
env X='() { (a)=>\' sh -c "echo Shellshock is here"; cat echo
(X='() { (a)=>\' bash -c "echo ls /etc; cat echo")
Wer weitere Informationen oder Tests kennt: Bitte hier posten!

Gruß
Frank
Mitglied: wiesi200
26.09.2014 um 07:10 Uhr
Hallo,

also meine centos 6.5 Server hatten den Fehler. Nach einem update kommt jetzt auf den Befehl:

01.
test="() { echo Hello; }; echo Shellshock" bash -c ""
Überhaupt kein Reaktion mehr.
Bitte warten ..
Mitglied: KowaKowalski
26.09.2014 um 13:00 Uhr
Hi Frank,


mein Test-Raspi liefert beim ersten Test kein Ergebnis.
Der weitere Test (this is a test) liefert allerdings den Text ohne Fehler aus.


Also erster Test: alles i.O.
weiterer Test: höchstwahrscheinlich betroffen

Wie kann/soll ich denn das interpretieren?

grüße
kowa
Bitte warten ..
Mitglied: C.R.S.
28.09.2014 um 00:22 Uhr
Ein umfassendes Test-Skript von Hanno Böck (Golem): https://github.com/hannob/bashcheck
Bitte warten ..
Mitglied: KowaKowalski
28.09.2014 um 22:25 Uhr
Zitat von C.R.S.:

Ein umfassendes Test-Skript von Hanno Böck (Golem): https://github.com/hannob/bashcheck


bedankt,

dannach is der pi sauber


mfg
kowa
Bitte warten ..
Mitglied: C.R.S.
04.10.2014 um 21:46 Uhr
Shellshock via OpenVPN kursiert (remote, pre-auth): https://news.ycombinator.com/item?id=8385332
Bitte warten ..
Ähnliche Inhalte
Administrator.de Feedback
gelöst Hauptseite listet oft keine "aktuellen" Fragen mehr (9)

Frage von pattern zum Thema Administrator.de Feedback ...

Batch & Shell
Dateien umbennen und verschieben mit bash (3)

Frage von sbsnewbie zum Thema Batch & Shell ...

Neue Wissensbeiträge
Peripheriegeräte

Was beachten bei der Wahl einer USV Anlage im Serverschrank

(2)

Tipp von zetboxit zum Thema Peripheriegeräte ...

Windows 10

Das Windows 10 Creators Update ist auf dem Weg

(5)

Anleitung von BassFishFox zum Thema Windows 10 ...

Administrator.de Feedback

Tipp: Ungelöste Fragen ohne Antwort in Tickeransicht farblich hinterlegen

Tipp von pattern zum Thema Administrator.de Feedback ...

Viren und Trojaner

Neue Magazin Ausgabe: Malware und Angriffe abwehren

Information von Frank zum Thema Viren und Trojaner ...

Heiß diskutierte Inhalte
Windows Systemdateien
Warum System auf "C:" (29)

Frage von DzumoPRO zum Thema Windows Systemdateien ...

LAN, WAN, Wireless
Cisco SG200: Auf bestimmtem vLAN bestimmte TCP-Ports sperren (19)

Frage von SarekHL zum Thema LAN, WAN, Wireless ...

Windows Server
gelöst Update BackupExec 2015 auf 2016 führt zu SQL-Server Problem (16)

Frage von montylein1981 zum Thema Windows Server ...

Cloud-Dienste
gelöst Bitcoins minen über Nacht? (16)

Frage von 1410640014 zum Thema Cloud-Dienste ...