[INFO]Sicherheitsl�cke Linux

09/26/2014 15:33 RatexIndex#1

Hallo Community,

Hier mal ein Beitrag der momentan Existierenden Sicherheitsl�cke auf Linux Systemen.

Quote:

Inzwischen wird die Bash-Sicherheitsl�cke Shellshock zur Verbreitung von Malware ausgenutzt. Die erste Korrektur war offenbar unvollst�ndig. Wir haben die wichtigsten Hintergr�nde zu Shellshock zusammengefasst.
Sie hatte zwar zun�chst keinen eing�ngigen Namen und kein Logo, aber die j�ngste Sicherheitsl�cke in der Kommandozeile Bash ist nach Ansicht vieler Fachleute ebenso dramatisch einzusch�tzen wie der inzwischen ber�hmte Heartbleed-Bug. Inzwischen wird sie fast �berall als Shellshock bezeichnet, ihre offizielle ID ist CVE-2014-6271, in der CVE-Datenbank des NIST wurde die L�cke mit der maximalen Gef�hrlichkeit von zehn Punkten eingestuft.

Kern des Problems ist eine Funktionalit�t von Bash, bei der in beliebigen Variablen direkt Funktionen definiert werden k�nnen. Dabei ist es egal, wie die Variable hei�t. Der entdeckte Fehler f�hrt dazu, dass hinter einer solchen Funktionsdefinition weiterer Code ungepr�ft ausgef�hrt wird, auch dann, wenn die entsprechende Funktion �berhaupt nicht aufgerufen wird.

Das f�hrt weiterhin dazu, dass das Ausnutzen der Sicherheitsl�cke extrem einfach ist. Bei verwundbaren Webanwendungen w�rde hierf�r ein simpler Aufruf von Curl oder Wget mit geeigneten Parametern ausreichen.

Quote:

Testen

Ob man von der urspr�nglichen Sicherheitsl�cke betroffen ist, l�sst sich mit einem einfachen Befehl testen:

test="() { echo Hello; }; echo gehackt" bash -c ""

Wird anschlie�end der String "gehackt" ausgegeben, ist man betroffen. Ein Beispiel, um zu testen, ob man nur den unvollst�ndigen ersten Fix erhalten hat, ist folgender Bash-Code:

X='() { function a a>\' bash -c echo; [ -e echo ] && echo "gehackt"

Es gibt inzwischen auch verschiedene Tools, um �ber das Netz zu pr�fen, ob eine Webseite betroffen ist. Diese sind allerdings meist nicht zuverl�ssig, da theoretisch jede einzelne Datei auf dem Server betroffen sein k�nnte und es zahlreiche verschiedene Variablen gibt, in denen man Code unterbringen kann. Das Testen von fremden Servern ist m�glicherweise illegal, da man in dem Fall Code auf fremden Servern ausf�hrt.

[Quelle und Kompletter Text]
[Only registered and activated users can see links. Click Here To Register...]

Mit freundlichen Gr��en
Ratex64bit

09/26/2014 15:39 wshbr#2

Habe gestern schon davon geh�rt, hat mir ein Freund erz�hlt. Danke das du es nochmal f�r alle postest. Konnte mir das so nochmal in Ruhe durchlesen.

Hoffe das wird schnell komplett behoben =)

09/26/2014 15:55 Der-Eddy#3

Quote:

Hier mal ein Beitrag der momentan Existierenden Sicherheitsl�cke auf Linux Systemen.

Das ist ein wenig Irref�hrend
Eigentlich geht es um eine L�cke in der Bash welche jedoch nicht allein f�r Linux ist sondern eher f�r alle Unix Abk�mmlinge (z.B. auch Mac, iOS mit Jailbreak)

ich benutze z.B. auch Cygwin (Bash Port f�r Windows) und heute gabs auch f�r gejailbreakte iPhones einen Fix per Cydia Update

09/26/2014 16:00 RatexIndex#4

Quote:

Originally Posted by Der-Eddy

Das ist ein wenig Irref�hrend
Eigentlich geht es um eine L�cke in der Bash welche jedoch nicht allein f�r Linux ist sondern eher f�r alle Unix Abk�mmlinge (z.B. auch Mac, iOS mit Jailbreak)

ich benutze z.B. auch Cygwin (Bash Port f�r Windows) und heute gabs auch f�r gejailbreakte iPhones einen Fix per Cydia Update

Ja es betrifft nicht alle dennoch sind die Command's mal gut auszuf�hren, damit man auf Nummer sicher gehen kann das noch kein Befall vorliegt.

Die Entwickler werden auch noch eine weile brauchen bis hierzu der passende Patch kommt, selbst im 20 Jahre alten System sind die Fehler aufzuweisen.

09/26/2014 16:12 Der-Eddy#5

Quote:

Originally Posted by Ratex64ƁIƬ

Die Entwickler werden auch noch eine weile brauchen bis hierzu der passende Patch kommt, selbst im 20 Jahre alten System sind die Fehler aufzuweisen.

So ziemlich �berall hab ich jetzt bereits einen Fix bekommen
Heute gabs dann auch den offizielen Patch dazu (Version 4.3)

den kann man sich hier z.B. runterladen: ftp://ftp.cwru.edu/pub/bash/
und dann auf seinem 20 Jahre alten System kompilieren

aber so ziemlich jede aktuelle Distribution wie z.B. Ubuntu oder Debian hat bereits einen Patch per apt-get update

09/26/2014 16:25 RatexIndex#6

Das ist schon Korrekt, aber dennoch sollte das eine Info sein mal den Check zu machen ;)
Auch wenn viele das Update jetzt drauf haben kann der Angreifer schon die Zugriffe haben.

Diesbez�glich verweise ich ja auch auf den Command.