Schwere Sicherheitslücke in Bash

M.E. · 25. September 2014

Ich poste das mal hier, da CB noch nicht drüber berichtet hat:

http://www.heise.de/newsticker/meld...ubt-das-Ausfuehren-von-Schadcode-2403305.html

Ist momentan in aller Munde, da fast alle Systeme betroffen sind.

Die Lücke scheint mir sehr einfach ausnutzbar, man sollte also schnell prüfen ob man betroffen ist und Maßnahmen ergreifen!
Details dazu im Artikel bei heise.

wesch2000 · 25. September 2014

bei manjaro gab's heute ein update

Chromkabel · 25. September 2014

Es gab bereits ein Update dazu:

http://www.heise.de/newsticker/meld...hock-ist-noch-nicht-ausgestanden-2403607.html

Wo etwa Busybox eingesetzt wird (z. B. in Fritzboxen), gab es ja gestern bereits Entwarnung:

http://www.heise.de/security/news/f...xen-betroffen/forum-286038/msg-25857631/read/

Auch hier ein interessanter Überblick:

http://www.troyhunt.com/2014/09/everything-you-need-to-know-about.html

Oder deutschsprachig von vor zwei Stunden:

http://www.golem.de/news/bash-luecke-die-hintergruende-zu-shellshock-1409-109463.html

Edit: Link

Zehkul · 25. September 2014

Selbst Maßnahmen ergreifen? Das sollte doch eigentlich die Distribution machen, wer unsupportetes Zeug nutzt, ist selbst schuld.

Arch, einfaches Systemupdate:

Daaron · 25. September 2014

apt-get dist-upgrade.... fertig.

Chromkabel · 25. September 2014

@zehkul: Den Statements nach erscheint einigen Experten vor allem das mittelfristige Bedrohungspotenzial, das von möglicherweise hinterlassenen DDoS-Botnetzen ausgehen könnte, momentan noch kaum absehbar. Auch Infrastuktur könnte noch betroffen sein.

Vielleicht nur im Affekt des ersten Moments, doch teils mit recht dramatischen Aussichten. Wie hier z. B.:

http://www.theverge.com/2014/9/25/6843669/bash-shellshock-network-worm-could-cause-internet-meltdown

Nachtrag:

Gerade bei twitter.com/ByteAtlas aufgeschnappt:

https://zerobin.net/?4126dd143e521260#/owlYOO8qcxqKMD5ggEXogpUB/CCBmjs4DClhvuG3SY=

http://www.kernelmode.info/forum/viewtopic.php?f=16&t=3505#p23987

exuser0815 · 25. September 2014

Tja der Bug ist bedeutend schlimmer als der SSL Heartbleed.
Es sind quasi ALLE Linuxmaschinen betroffen. Egal ob 20 Jahre alt oder vorgestern aufgesetzt. Egal ob Linux Desktop Kuebel, Mac OS, Android/iPhone, Router, Wlan Radio, LED Wifi Lampe oder ne riesige Compute Farm.
Und sehr einfach ausnutzbar, selbst wenn das Device nicht von aussen erreichbar ist. Es reicht schon, wenn das Wlan Radio auf einen praeparierten Stream zugreift.

Insofern, patch eure Devices!!!

Zehkul · 25. September 2014

Ulukay schrieb:
Es sind quasi ALLE Linuxmaschinen betroffen.

Macs sind keine Linuxmaschinen.

Und eigentlich betrifft es auch ne Menge BSDs, reicht ja, dass Bash installiert ist und einfach irgendwie aufgerufen werden kann (mein Screenshot oben ist zsh), und das passiert nun mal recht schnell, bzw. oft kommt man auch nicht drum rum. Es ist also praktisch alles betroffen, was grob auf den Namen Unix hört.

Ja, mir fällt spontan kein Stück Software ein, wo so eine Lücke unangenehmer wäre als in Bash. Einen höheren Verbreitungsgrad wird man schwer finden. Und wie herrlich primitiv dieser Exploit auch noch ist.

Riseofdead · 25. September 2014

mich würd interessieren wie man einen Androiden Patched? In meinem Fall ein Nexus 5 mit Cyanogen Mod 11 M9. Da ist ja alles anders als unter einem PC Linux.

Caedus · 26. September 2014

Exynos4412 schrieb:
mich würd interessieren wie man einen Androiden Patched?

Auf Android ist Bash idR nicht installiert.
Du kannst das relativ leicht testen, indem du dir 'nen Terminal-Emulator aus'm Play-Store installierst und /bin/bash bzw. bash eingibst.

Kanibal · 26. September 2014

Android ist meines Erachtens relativ unkritisch, da dort üblicherweise keine Serverdienste laufen die angreifbar wären. Wenn der Angreifer von lokal kommt, hat man eigentlich eh schon verloren.

Viel interessanter fände ich mal eine Aufstellung an Server-Anwendungen, die Bash(-Scripte) entweder über Webserver-CGI oder exec()/system()/popen()-Calls starten. Diese sind doch auch allesamt verwundbar? Webmin? phpsysinfo? ...

Piktogramm · 26. September 2014

Android ist vor allem unkritisch da keine (mit bekannte) Inkarnation von Android von Haus aus Bash mitbringt

EDIT Fehler Meinerseits, Cyanogen Mod bringt Bash mit.

Schlimmer sind zwei Sachen:

Apple ist gerade etwas arg lahm was das Patchen angeht

Viele schauen sich den Spaß jetzt etwas genauer an und das Ergebnis ist nicht so toll:
https://blog.fefe.de/?ts=aadaac3d

Sensei21 · 26. September 2014

jupp, in Android ist eher Busybox inkludiert

huch - ich glaub auf meinem ROM läuft Bash

Chromkabel · 26. September 2014

Offenbar gibt es erste Hinweise auf ein einsetzendes Hase-Igel-Rennen um Industrie- und Anlagensteuerungen:

http://in.reuters.com/article/2014/09/25/us-cybersecurity-shellshock-idINKCN0HK23Y20140925

Denkbar auch, dass kurzfristig noch der eine oder andere Webshop oder Dienstleister kompromittiert und dabei womöglich auch sensible Daten erbeutet werden.

Wenigstens gibt es schon die ersten kultigen ShellShock-T-Shirts:

http://www.redbubble.com/people/markuslindberg/works/12713462-shellshock-unix-bash-bug

Gute Nacht allerseits und besonders den vielen Admins, die morgen kein frühes Wochenende erleben werden.

M.E. · 26. September 2014

Nicht zu vergessen sind auch noch NAS Systeme, die insbesondere, wenn sie CGI unterstützen, auch betroffen sind.

Tuxman · 26. September 2014

M.E. schrieb:
Ist momentan in aller Munde, da fast alle Systeme betroffen sind.

Nö.

Die BSDs setzen allesamt auf eine akzeptable Shell statt dieses bash-Unfugs, Debian verwendet für Benutzer standardmäßig die dash, andere sicherlich wiederum etwas anderes.

Zum Glück.

exuser0815 · 26. September 2014

Exynos4412 schrieb:
mich würd interessieren wie man einen Androiden Patched? In meinem Fall ein Nexus 5 mit Cyanogen Mod 11 M9. Da ist ja alles anders als unter einem PC Linux.

Cyanogenmod ist definitiv betroffen, der Fix wurde schon gestern im SVN eingecheckt:
http://review.cyanogenmod.org/#/c/73936/

cm-11-20140926-NIGHTLY-* sollte also nicht mehr betroffen sein.

Wenigstens sind embedded Systeme die Busybox verwenden, nicht betroffen!

Kanibal schrieb:
Android ist meines Erachtens relativ unkritisch, da dort üblicherweise keine Serverdienste laufen die angreifbar wären. Wenn der Angreifer von lokal kommt, hat man eigentlich eh schon verloren.

Du brauchst keine Serverdienste um angreifbar zu sein.

Fonce · 26. September 2014

Tuxman schrieb:
Nö.

Die BSDs setzen allesamt auf eine akzeptable Shell statt dieses bash-Unfugs, Debian verwendet für Benutzer standardmäßig die dash, andere sicherlich wiederum etwas anderes.

Zum Glück.

Wenn ich als Shebang aber

Code:

#!/bin/bash

verwende, dann wird die bash(wenn installiert, wenn nicht dann gibt es natürlich nen fehler. Außer man hat einfach einen symlink auf eine andere Shell erstellt^^) und nicht die dash genutzt.
Ein BSD würde dies genauso machen.

Tuxman · 26. September 2014

Das ist richtig, weshalb ich persönlich meist #!/bin/sh tippe. Blöd halt bei shellspezifischem Scripting - ich weiß nicht mal so genau, ob die dash vollständig bash-kompatibel ist, ich habe sie nie aktiv verwendet.
Wohl nicht: http://mywiki.wooledge.org/Bashism

(Es gibt übrigens eine einfache Lösung: Stell' dein Shellscript in mehreren Versionen bereit.

)

Kanibal · 26. September 2014

Ulukay schrieb:
Du brauchst keine Serverdienste um angreifbar zu sein.

Deswegen habe ich ja geschrieben, wenn der Angriff von lokal (=Bösartige App) kommt, hat man eh verloren. Oder gibt es einen weiteren denkbaren Angriffsweg?

Schwere Sicherheitslücke in Bash

Lt. Commander

Captain

Lt. Junior Grade

Admiral

Fleet Admiral

Lt. Junior Grade

exuser0815

Gast

Admiral

Lt. Commander

Lieutenant

Lt. Commander

Admiral

Commander

Lt. Junior Grade

Lt. Commander

Banned

exuser0815

Gast

Captain

Banned

Lt. Commander

Ähnliche Themen

Passend zum Thema