[INFO]Sicherheitslücke Linux

[RatexIndex]

Hallo Community,

Hier mal ein Beitrag der momentan Existierenden Sicherheitslücke auf Linux Systemen.

Quote:

Inzwischen wird die Bash-Sicherheitslücke Shellshock zur Verbreitung von Malware ausgenutzt. Die erste Korrektur war offenbar unvollständig. Wir haben die wichtigsten Hintergründe zu Shellshock zusammengefasst.
Sie hatte zwar zunächst keinen eingängigen Namen und kein Logo, aber die jüngste Sicherheitslücke in der Kommandozeile Bash ist nach Ansicht vieler Fachleute ebenso dramatisch einzuschätzen wie der inzwischen berühmte Heartbleed-Bug. Inzwischen wird sie fast überall als Shellshock bezeichnet, ihre offizielle ID ist CVE-2014-6271, in der CVE-Datenbank des NIST wurde die Lücke mit der maximalen Gefährlichkeit von zehn Punkten eingestuft.

Kern des Problems ist eine Funktionalität von Bash, bei der in beliebigen Variablen direkt Funktionen definiert werden können. Dabei ist es egal, wie die Variable heißt. Der entdeckte Fehler führt dazu, dass hinter einer solchen Funktionsdefinition weiterer Code ungeprüft ausgeführt wird, auch dann, wenn die entsprechende Funktion überhaupt nicht aufgerufen wird.

Das führt weiterhin dazu, dass das Ausnutzen der Sicherheitslücke extrem einfach ist. Bei verwundbaren Webanwendungen würde hierfür ein simpler Aufruf von Curl oder Wget mit geeigneten Parametern ausreichen.

Quote:

Testen

Ob man von der ursprünglichen Sicherheitslücke betroffen ist, lässt sich mit einem einfachen Befehl testen:

test="() { echo Hello; }; echo gehackt" bash -c ""

Wird anschließend der String "gehackt" ausgegeben, ist man betroffen. Ein Beispiel, um zu testen, ob man nur den unvollständigen ersten Fix erhalten hat, ist folgender Bash-Code:

X='() { function a a>\' bash -c echo; [ -e echo ] && echo "gehackt"

Es gibt inzwischen auch verschiedene Tools, um über das Netz zu prüfen, ob eine Webseite betroffen ist. Diese sind allerdings meist nicht zuverlässig, da theoretisch jede einzelne Datei auf dem Server betroffen sein könnte und es zahlreiche verschiedene Variablen gibt, in denen man Code unterbringen kann. Das Testen von fremden Servern ist möglicherweise illegal, da man in dem Fall Code auf fremden Servern ausführt.

[Quelle und Kompletter Text]


Mit freundlichen Grüßen
Ratex64bit

[wshbr]

Habe gestern schon davon gehört, hat mir ein Freund erzählt. Danke das du es nochmal für alle postest. Konnte mir das so nochmal in Ruhe durchlesen.

Hoffe das wird schnell komplett behoben =)

[Der-Eddy]

Quote:

Hier mal ein Beitrag der momentan Existierenden Sicherheitslücke auf Linux Systemen.

Das ist ein wenig Irreführend
Eigentlich geht es um eine Lücke in der Bash welche jedoch nicht allein für Linux ist sondern eher für alle Unix Abkömmlinge (z.B. auch Mac, iOS mit Jailbreak)

ich benutze z.B. auch Cygwin (Bash Port für Windows) und heute gabs auch für gejailbreakte iPhones einen Fix per Cydia Update

[RatexIndex]

Quote:

Originally Posted by Der-Eddy

Das ist ein wenig Irreführend
Eigentlich geht es um eine Lücke in der Bash welche jedoch nicht allein für Linux ist sondern eher für alle Unix Abkömmlinge (z.B. auch Mac, iOS mit Jailbreak)

ich benutze z.B. auch Cygwin (Bash Port für Windows) und heute gabs auch für gejailbreakte iPhones einen Fix per Cydia Update

Ja es betrifft nicht alle dennoch sind die Command's mal gut auszuführen, damit man auf Nummer sicher gehen kann das noch kein Befall vorliegt.

Die Entwickler werden auch noch eine weile brauchen bis hierzu der passende Patch kommt, selbst im 20 Jahre alten System sind die Fehler aufzuweisen.

[Der-Eddy]

Quote:

Originally Posted by Ratex64ƁIƬ

Die Entwickler werden auch noch eine weile brauchen bis hierzu der passende Patch kommt, selbst im 20 Jahre alten System sind die Fehler aufzuweisen.

So ziemlich überall hab ich jetzt bereits einen Fix bekommen
Heute gabs dann auch den offizielen Patch dazu (Version 4.3)

den kann man sich hier z.B. runterladen: ftp://ftp.cwru.edu/pub/bash/
und dann auf seinem 20 Jahre alten System kompilieren

aber so ziemlich jede aktuelle Distribution wie z.B. Ubuntu oder Debian hat bereits einen Patch per apt-get update

[RatexIndex]

Das ist schon Korrekt, aber dennoch sollte das eine Info sein mal den Check zu machen
Auch wenn viele das Update jetzt drauf haben kann der Angreifer schon die Zugriffe haben.

Diesbezüglich verweise ich ja auch auf den Command.