"ShellShock"-Bug in bash - absolut kritisch!

Dieses Thema im Forum "Security" wurde erstellt von kkeppler, 26. September 2014.

  1. kkeppler

    kkeppler Eingetragener Provider

    Registriert seit:
    12. Juni 2003
    Beiträge:
    1.895
    Ort:
    Erlangen
    Firmenname:
    Keppler IT GmbH
    Anbieterprofil:
    Klick
    Hallo,

    der kürzlich bekannt gewordene "ShellShock"-Bug in der bash ist als absolut kritisch einzustufen.
    Wir haben mit nur einer einzigen, modifizierten HTTP-Anfrage erfolgreich in via suPHP ausgeführte Websites "einsteigen" können (auf unseren eigenen Servern natürlich). Ich empfehle daher dringend, die derzeit bereitgestellten Patches der jeweiligen Distribution einzuspielen. In ersten Quellen ist bereits von Würmern die Rede, welche diese Schwachstelle automatisiert ausnutzen.

    Um das also noch mal deutlich zu machen: falls man über CGI, suPHP oder ähnliche Mechanismen ein Script auf dem Server ausführen kann, welches irgendeinen Systemaufruf über die Shell macht (bei PHP wäre das also schon irgendein shell_exec() oder Backtick-Aufruf!), dann kann man mit einem einzigen HTTP-Request einsteigen (Daten herunterladen, Rootkit hochladen, was-auch-immer...).

    Für Debian Wheezy existiert seit knapp einer Stunde ein neuer Patch, welcher den bash-Fehler vollständig verhindern soll (der Patch von gestern Nacht war nicht ausreichend). Für Debian Squeeze dürfte via LTS in Kürze auch ein Update kommen.

    Für ältere Distributionen besteht die Möglichkeit, via LD_PRELOAD einen Workaround zu installieren - wir haben das hier auch noch mal beschrieben: https://www.liveconfig.com/de/kb/23

    Viele Grüße

    -Klaus Keppler
     
  2. kkeppler

    kkeppler Eingetragener Provider

    Registriert seit:
    12. Juni 2003
    Beiträge:
    1.895
    Ort:
    Erlangen
    Firmenname:
    Keppler IT GmbH
    Anbieterprofil:
    Klick
    AW: "ShellShock"-Bug in bash - absolut kritisch!

    Mit folgendem Code kann man schnell prüfen, ob die bash noch gegen den neuen (modifizierten) ShellShock-Bug anfällig ist:

    Code:
    unset X; rm -f /tmp/bashtest; export X='() { (a)=>\'; bash -c "/tmp/bashtest echo VULNERABLE"; cat /tmp/bashtest; unset X
    Wenn in der Ausgabe das Wort "VULNERABLE" erscheint, dann ist es höchste Zeit zum Handeln...
     
  3. DMKlein

    DMKlein Erfahrener Benutzer

    Registriert seit:
    19. März 2001
    Beiträge:
    1.713
    AW: "ShellShock"-Bug in bash - absolut kritisch!

    Für Debian Squeeze stehen auch gepatchte Pakete zur Verfügung, jedoch in den LTS-Repositories. Um diese zu Nutzen muss in /etc/apt/sources.list folgende Sourcen hinzufügen hinzugefügt werden:




    Anschließend normal updaten & upgraden
     
    Zuletzt bearbeitet: 26. September 2014
  4. Tom-i

    Tom-i Eingetragener Provider

    Registriert seit:
    7. Oktober 2004
    Beiträge:
    1.758
    Ort:
    Menden
    Firmenname:
    Serverman
    Anbieterprofil:
    Klick
    AW: "ShellShock"-Bug in bash - absolut kritisch!

    Ich habe bereits gestern für Debian Lenny und Ubuntu Jaunty gepatchte Pakete bereitgestellt.

    Im Laufe des Tages werde ich ein Update dazu releasen mit dem Patch von heute Nacht.
     
  5. Tom-i

    Tom-i Eingetragener Provider

    Registriert seit:
    7. Oktober 2004
    Beiträge:
    1.758
    Ort:
    Menden
    Firmenname:
    Serverman
    Anbieterprofil:
    Klick
    AW: "ShellShock"-Bug in bash - absolut kritisch!

    Edit: Fehler gefunden. Zweiter Patch muß etwas angepasst werden für alte distris..
     
    Zuletzt bearbeitet: 26. September 2014
  6. doubleb

    doubleb Eingetragener Provider

    Registriert seit:
    18. Februar 2002
    Beiträge:
    1.091
    Ort:
    Erlangen
    Firmenname:
    19i GbR
    Anbieterprofil:
    Klick
    AW: "ShellShock"-Bug in bash - absolut kritisch!

    :)
     
  7. Tom-i

    Tom-i Eingetragener Provider

    Registriert seit:
    7. Oktober 2004
    Beiträge:
    1.758
    Ort:
    Menden
    Firmenname:
    Serverman
    Anbieterprofil:
    Klick
  8. RichBone

    RichBone Geprüfter Provider

    Registriert seit:
    7. August 2006
    Beiträge:
    2.155
    Ort:
    Eisenhüttenstadt
    Firmenname:
    RB Media Group GmbH
    Anbieterprofil:
    Klick
    AW: "ShellShock"-Bug in bash - absolut kritisch!

    Hallo

    vielen Dank für den Hinweis.

    Mit freundlichen Grüßen

    Martin Krüger
     
  9. TecServer.com

    TecServer.com Eingetragener Provider

    Registriert seit:
    24. August 2003
    Beiträge:
    1.065
    Ort:
    Innsbruck
    Firmenname:
    TecServer
    Anbieterprofil:
    Klick
    AW: "ShellShock"-Bug in bash - absolut kritisch!

    Hallo Jungs,

    danke für die alternative Lösung Klaus, da hat sich aber beim Pfad mv Befehl ein Copy Fehler eingeschlichen.
    Aus deiner Lösung heraus haben wir ein kleines automatisiertes Script geschrieben, glaube das hilft gerade beim management vieler Systeme welche noch keine Bugfixes in einem Repo haben:

    http://blog.5hosting.com/shellshock-bash-bug/
     
  10. kkeppler

    kkeppler Eingetragener Provider

    Registriert seit:
    12. Juni 2003
    Beiträge:
    1.895
    Ort:
    Erlangen
    Firmenname:
    Keppler IT GmbH
    Anbieterprofil:
    Klick
    AW: "ShellShock"-Bug in bash - absolut kritisch!

    Wurde inzwischen schon korrigiert (statt /usr/bin sollte das natürlich nach /usr/lib).

    Funktioniert aber nur, wenn gcc auf dem jeweiligen Server installiert ist. Und ob man eine Build-Umgebung auf Webservern braucht, darüber kann man sich streiten. ;-)
    Außerdem habt ihr noch einen anderen Bug mit übernommen: statt LC_PRELOAD muss es LD_PRELOAD heißen (ich hab irgendwie "LC" im Blut... ;-)

    Viele Grüße
     
  11. TecServer.com

    TecServer.com Eingetragener Provider

    Registriert seit:
    24. August 2003
    Beiträge:
    1.065
    Ort:
    Innsbruck
    Firmenname:
    TecServer
    Anbieterprofil:
    Klick
    AW: "ShellShock"-Bug in bash - absolut kritisch!

    Das mit der Build Umgebung ist klar, aber es geht hier auch nur um eine Quickfix Lösung :)
    Hab das mit dem LC_PRELOAD ausgebessert, danke!
     

Diese Seite empfehlen