Schwere Sicherheitslücke bedroht Macs und Linux-Rechner

  • ..eigentlich kein "offtopic" aber kA wo das sonst passen könnte..



    Ein Leck in einem Uraltprogramm, das auf vielen Unix- und Linux-Rechnern läuft, bedroht deren Sicherheit. Experten sprechen von Ausmaßen wie beim "Heartbleed"-Bug.
    Auch Apple-Rechner sind betroffen. Es gibt einen einfachen Selbsttest.


    Computer, auf denen Unix- oder Linux-basierte Betriebssysteme laufen, sind von einer schweren Sicherheitslücke bedroht. Unter anderem warnt das amerikanische National Cyber Awareness System vor dem Fehler mit der offiziellen Bezeichnung CVE-2014-6271, der Millionen Rechner betreffen dürfte. Darunter auch Rechner mit dem Apple-Betriebssystem OS X, das Elemente der Unix-Variante BSD enthält - und auch die sogenannte Bash.


    Der französische Entwickler Stéphane Chazelas hat die Sicherheitslücke in der Bourne Again Shell (Bash) entdeckt, die zu den grundlegenden Programmen in Unix- und Linux-Systemen gehört.


    Nach Angaben der auf Sicherheitstechnik spezialisierten Seite "Openwall" ist es möglich, über die Lücke Schadsoftware in betroffene Rechner einzuschleusen.
    Die Schwachstelle, die auch als "Shellshock" bezeichnet wird, wird im Netz bereits mit dem "Heartbleed"-Bug verglichen, der vor einigen Monaten für Aufsehen sorgte, weil er scheinbar sichere Internetverbindungen für Angriffe anfällig macht.


    Der Sicherheitsexperte Robert Graham schreibt über "Shellshock" in einem Blogbeitrag, es sei genauso gefährlich wie "Heartbleed", die Ausmaße hält er sogar für noch größer.
    Denn die Bash wird seit mehr als 20 Jahren eingesetzt, und alle bisherigen Versionen sind anfällig. So könnten Angreifer beispielsweise Überwachungskameras kapern, die mit der Bash kommunizieren. Sobald solche Kameras über das Netz gesteuert werden, sind sie laut Graham ein leichtes Ziel. Denn im Gegensatz zu vielen Webservern würden solche Geräte meist gar nicht mit Updates versorgt.


    Viele Systeme könnten ohne Update auskommen


    Ob ein Rechner betroffen ist, lässt sich mit einem Kommandozeilenprogramm testen. Die folgende Zeile führt eine Funktion aus, die einen bestimmten Text nur dann auf dem Bildschirm anzeigt, wenn der "Shellshock"-Fehler vorliegt:


    Code
    env x='() { :;}; echo vulnerable' bash -c "echo this is a test"


    Wenn nach Eingabe dieser Zeile "vulnerable" auf dem Bildschirm angezeigt wird, dann ist der Rechner von der Sicherheitslücke betroffen. Wird die Warnmeldung "bash: error importing function definition for x" ausgegeben, dann ist die Lücke bereits gestopft.


    Mittlerweile haben einige Linux-Anbieter wie Red Hat, Fedora und Ubuntu reagiert und Updates für die angreifbaren Bash-Versionen zur Verfügung gestellt.
    Apple aber hat bisher noch kein Update für seine Bash-Version herausgegeben.


    Viele Rechner könnten auf einem alten Stand bleiben


    Die Bash ist ein sogenanntes Kommandozeilenprogramm, das noch aus der Zeit stammt, als man Computer über Textbefehle steuerte und nicht per Maus.
    Bis heute ist sie bei Linux-Anwendern beliebt, weil sich mit ihr viele Alltagsaufgaben leichter und schneller abwickeln lassen als mit der Maus. Vor allem aber ist die Bash scriptfähig, das heißt, man kann sie mit Programmen füttern, die dann bestimmte Abläufe automatisiert abarbeiten.
    Genau da liegt laut dem Experten Graham das Problem. "Wir wissen, dass es gefährlich ist, mit der Shell zu interagieren, aber wir schreiben Code, der es dennoch macht", so Graham. Viele Programme würden mit der Bash kommunizieren. "Daher werden wir niemals alle Programme auf dem Markt auflisten können, die anfällig für den Bash-Bug sind."




    Quelle: http://www.spiegel.de/netzwelt…er-und-macs-a-993688.html



    Mein Raspbian ist von der Sicherheitslücke betroffen!


    Nach einem apt-get update && apt-get upgrade wird aber eine neue bash installiert, bei der das Problem nicht mehr auftritt!

  • Moinsen ...


    aha ... deshalb wurde vor zwei Tagen bei meinem Ubuntu-Update des Laptops eine neue bash mitgeliefert.
    Der Selbsttest zeigt keine Anfälligkeit ... ;)


    Ich hatte mich schon über den Update der bash gewundert ... das fällt so krass aus dem Rahmen der üblichen Sicherheits-fixes, dass es gleich auffällt.

    //EDIT:
    Mein aktuelles Raspbian ist auch "vulnerable":

    Code
    robot@raspberrypi ~ $ uname -a
    Linux raspberrypi 3.12.25+ #1 PREEMPT Sat Aug 2 18:11:04 CEST 2014 armv6l GNU/Linux
    robot@raspberrypi ~ $
    robot@raspberrypi ~ $ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
    vulnerable
    this is a test
    robot@raspberrypi ~ $


    nach einem update/upgrade:



    ist die Sicherheitslücke immer noch vorhanden.
    Da aber keiner meiner RPi nach aussen sichtbar im Netz hängt, ist das eher wurscht.



    Jedenfalls danke für den Super-Hinweis ...


    cheers,
    -ds-

  • Shellshock schlägt ja seit gut 2 Tagen in allen IT-News grosse wellen. Hab heute auch erstmal 30 Ubuntu Server geupdatet :)

    Der Unterschied zwischen Genie und Wahnsinn definiert sich im Erfolg.


  • nach einem update/upgrade:

    Code
    robot@raspberrypi ~ $ uname -a
    Linux raspberrypi 3.12.25+ #1 PREEMPT Sat Aug 2 18:11:04 CEST 2014 armv6l GNU/Linux
    robot@raspberrypi ~ $ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
    vulnerable
    this is a test
    robot@raspberrypi ~ $ sudo rpi-update
    *** Your firmware is already up to date
    robot@raspberrypi ~ $


    Hm, komisch. Bei mir wurde die bash gerade updated:

  • Dazu kommt noch teilweise das

    Code
    Red Hat has become aware that the patch for CVE-2014-6271 is incomplete. An attacker can provide specially-crafted environment variables containing arbitrary commands that will be executed on vulnerable systems under certain conditions. The new issue has been assigned CVE-2014-7169. Red Hat is working on patches in conjunction with the upstream developers as a critical priority.

    Der Unterschied zwischen Genie und Wahnsinn definiert sich im Erfolg.

  • Finde ich auch sonderbar ... Du hast 3.12.26, bei mir ist bei 3.12.25 Schluss ...


    Mh dann passt bei dir allgemein etwas nicht. Hab grad rpi-update ausgeführt und er werkelt wild rum... Obwohl ich einen neueren Kernel als du hab, krieg ich trotzdem noch einen neueren: 3.12.28+ :D


    Ich hab' den output gerade oben in meinem Post im spoiler dazugepackkt.


    Da werden aber übelst viele Pakete zurückgehalten... Mach mal das was da steht: apt-get autoremove und dann noch mal upgdate probiern ;)


  • ...
    Da werden aber übelst viele Pakete zurückgehalten... Mach mal das was da steht: apt-get autoremove und dann noch mal upgdate probiern ;)


    Tjaaaaa .... das nutz auch nix:


    hat scheinbar mit der Grafik-Lib des X-Server zu tun.
    Da das eh ein Versuchs-RPi ist, könnten wir mal versuchen, das Update trotzdem hinzubekommen.
    Wie gesagt, mir persönlich egal, aber vielleicht für andere interessant.
    Irgendwie den X-Server core ... äh ... nachinstallieren, deinstallieren, ???
    Vorschläge?


    Ach ... fällt mir grad' ein: ich hab' da irgendwann mal eine Framebuffer-Variante aufgespielt.
    Frag' mich aber jetzt nicht welche und wann das war :s


    cheers,
    -ds-


  • Dazu kommt noch teilweise das

    Code
    Red Hat has become aware that the patch for CVE-2014-6271 is incomplete. An attacker can provide specially-crafted environment variables containing arbitrary commands that will be executed on vulnerable systems under certain conditions. The new issue has been assigned CVE-2014-7169. Red Hat is working on patches in conjunction with the upstream developers as a critical priority.


    Jep, leider =(


    Siehe dazu auch:
    http://seclists.org/oss-sec/2014/q3/686


    apache mit mod_cgi ist von dem Problem übrigens auch betroffen.. aber wer heute noch CGI nutzt ist selbst schuld :D



    Das wichtigste zu dem Shellshock Bug ist aber ein Statement, das ich heute auf Twitter las: "if you're using system() to call things based on user input the bash vulnerability isn't your biggest problem" ... wer sowas macht wills dann nicht anders :fies:

  • Solche Sachen gehören imho entweder in die News oder nach Debian/Raspbian.
    Vielleicht kann unser Ober-Admin sich da mal was einfallen lassen.
    Irgendwie als wichtig gekennzeichnetes oben angepinntes Topic ... sollte aber evtl. moderiert werden.


    cheers,
    -ds-
    [hr]


    ...
    apache mit mod_cgi ist von dem Problem übrigens auch betroffen.. aber wer heute noch CGI nutzt ist selbst schuld :D


    Pah!
    cgi ist mir persönlich immer noch lieber als der ganze andere, neumodische Kram der imho überwiegend aus der Windows-Ecke eingeschleppt wurde/wird :fies:

  • mod_cgi bietet halt einfach einen Unglaublich grossen Angriffsvektor. Die reine Verwundbarkeit von Bash wäre ja nicht sooo das Problem, aber Indianer gibts nun mal mehr im Internet als in Ihren Reservaten.

    Der Unterschied zwischen Genie und Wahnsinn definiert sich im Erfolg.

    Edited once, last by dbv ().

  • Beim normalen Debian kam eben gerade ein weiteres Update für bash raus (4.2+dfsg-0.1+deb7u3). Aktuell ist bei Raspbian zZt noch 4.2+dfsg-0.1+deb7u1


    Für Raspbian wird's wohl noch ein bisschen dauern bis die neue bash ported wird... Also nicht vergessen innerhalb der nächsten Tage noch mal ein upgrade durchzuführen!



  • Beim normalen Debian kam eben gerade ein weiteres Update für bash raus (4.2+dfsg-0.1+deb7u3). Aktuell ist bei Raspbian zZt noch 4.2+dfsg-0.1+deb7u1


    Für Raspbian wird's wohl noch ein bisschen dauern bis die neue bash ported wird... Also nicht vergessen innerhalb der nächsten Tage noch mal ein upgrade durchzuführen!


    Das weitere Update für bash steht inzwischen auch für Raspbian zur Verfügung:

    Code
    ~ $ apt-cache policy bash
    bash:
    Installed: 4.2+dfsg-0.1+deb7u3
    Candidate: 4.2+dfsg-0.1+deb7u3
    Version table:
    *** 4.2+dfsg-0.1+deb7u3 0
    500 http://mirrordirector.raspbian.org/raspbian/ wheezy/main armhf Packages
    100 /var/lib/dpkg/status

    The most popular websites without IPv6 in Germany.

  • Moin,


    mittlerweile gibt's für meinen Fall siehe ( -> hier <- ) auch ein upgrade:


    cheers,
    -ds-

  • Hast du, wegen deiner 270 anderen Packete schon mal ein

    Code
    sudo apt-get dist-upgrade

    probiert?

    Der Unterschied zwischen Genie und Wahnsinn definiert sich im Erfolg.

  • Jo ... hob i a scho probiert ;) ...
    Ich hab' da halt einiges an Zeugs drauf (mehrere, umschaltbare Versionen des gcc, diese jessie Geschichte wegen Kernel ..., irgendein Framebuffer-Relikt, ...) ist halt ein typischer Bastel-RPi.
    Da ist das scheinbar etwas aufwändiger und komplizierter mit den updates.
    Jedenfalls hat das da jetzt auch geklappt ... ist ja schon mal was :bravo2:


    cheers,
    -ds-

  • Code
    pi@raspberrypi ~ $ apt-cache policy bash
    bash:
    Installiert: 4.2+dfsg-0.1+deb7u3
    Installationskandidat: 4.2+dfsg-0.1+deb7u3
    Versionstabelle:
    *** 4.2+dfsg-0.1+deb7u3 0
    500 http://mirrordirector.raspbian.org/raspbian/ wheezy/main armhf Packages
    100 /var/lib/dpkg/status
    pi@raspberrypi ~ $


    Hm, ist der Fehler bei mir jetzt weg???


    Code
    pi@raspberrypi ~ $ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
    this is a test
    pi@raspberrypi ~ $


    weil, vorher kam mal

    Code
    pi@raspberrypi ~ $ env x='() { :;}; echo vulnerable' bash -c "echo this is a tes t"
    vulnerable
    this is a test
    pi@raspberrypi ~ $


    Das war vor update/upgrade....

    Viele Grüße, Charly