"ShellShock" - Lücke in Unix-Shell "Bash" zieht immer weitere Kreise

Jimini

Jimini

PCGH-Community-Veteran(in)
"ShellShock" - Lücke in Unix-Shell "Bash" zieht immer weitere Kreise

Die am 24. September 2014 entdeckte Sicherheitslücke in der Unix-Shell "Bash" stellt offenbar ein größeres Problem dar als bislang angenommen. Das Schadenspotential der Lücke wurde vom us-amerikanischen NIST (National Institute of Standards and Technology) mit dem Maximalwert 10 bewertet. Grund für diese Einschätzung ist vor allem, dass die Sicherheitslücke in allen Bash-Versionen zwischen 1.14 und 4.3 besteht und somit 25 Jahre alt ist. Ferner ist Bash auf vielen unixoiden Systemen vorinstalliert und somit extrem weit verbreitet. Zusätzlich ermöglicht die Lücke das Ausführen von Schadcode mit root-Rechten, sofern der Code an ein mit entsprechenden Privilegien laufendes Programm übergeben werden kann.

Ungefähre Arbeitsweise eines möglichen Exploits und Angriffsvektoren
Aufgrund der Schwachstelle kann über Umgebungsvariablen Code ausgeführt werden, welcher beim Start einer neuen Shell nicht geprüft wird. Da Bash an vielen Stellen Verwendung findet, sind viele Angriffswege möglich. Wie RedHat in einem Blog berichtet, sind darüber hinaus Angriffe via DHCP denkbar. Ebenso ließen sich etwa CGI-Skripte auf Webservern mittels manipulierter GET-Requests als Einfallstor dienen.

Aktueller Stand
Die meisten großen Distributionen stellten umgehend Patches für Bash bereit, welche das Problem allerdings nicht komplett beheben. Eine Aktualisierung des Systems ist dringend anzuraten, da die Lücke bereits aktiv ausgenutzt wird - unter anderem wird ein DDoS-Botnetz vermutet, welches über Systeme über die Sicherheitslücke in Bash angreift. Ebenso ist bereits ein Exploit verfügbar, welcher aus einer virtuellen Maschine in VMWare Fusion einen MacOS-Host angreifen kann. Dieser Angriff ist besonders prekär, da für MacOS bislang kein Patch zur Verfügung gestellt wurde.

Test des eigenen Systems
Mit dem folgenden Codeschnipsel lässt sich überprüfen, ob das eigene System anfällig für entsprechende Angriffe ist:
Code: 
test="() { echo Hello; }; echo verwundbar" bash -c ""
Auf einem ungepatchten System gibt die Shell daraufhin "verwundbar" aus.

Quellen:
Wikipedia
Heise-Artikel vom 24.9.2014
Heise-Artikel vom 25.9.2014
RedHat-Blogpost vom 24.9.2014
Golem-Artikel vom 24.9.2014
Golem-Artikel vom 25.9.2014
 
Zuletzt bearbeitet:
AW: "ShellShock" - Lücke in Unix-Shell "Bash" zieht immer weitere Kreise

Jimini schrieb:
Zusätzlich ermöglicht die Lücke das Ausführen von Schadcode mit root-Rechten.
Zum Vergrößern anklicken....
Stimmt so nicht!

Der Code hat die gleichen Rechte, wie das Programm, dem der Parameter (also der Code) übergeben wird.
Als Nutzer kann man also nicht "einfach so" root-Rechte bekommen.

Das heißt jedoch auch, wenn der Code im Parameter an (z.B.) einen Webserver (Apache, Nginx, ...) mit root-Rechten übergeben wird, wird der Code mit root-Rechten ausgeführt.
Es gibt jedoch auch genug Server / Deamons, die nur mit Nutzerrechten laufen.
 
AW: "ShellShock" - Lücke in Unix-Shell "Bash" zieht immer weitere Kreise

Und die meisten OS X Nutzer wissen nichts davon und träumen weiter davon wie "sicher" OS X doch ist :ugly:

Ironisch finde ich nur, dass die Lücke scheinbar seit 25 Jahren niemand gefunden hat,
jetzt wo sie publik gemacht wurde wird sie garantiert ausgenutzt. Das hätte man auch intelligenter
regeln können.
 
AW: "ShellShock" - Lücke in Unix-Shell "Bash" zieht immer weitere Kreise

Infin1ty schrieb:
Und die meisten OS X Nutzer wissen nichts davon und träumen weiter davon wie "sicher" OS X doch ist :ugly:

Ironisch finde ich nur, dass die Lücke scheinbar seit 25 Jahren niemand gefunden hat,
jetzt wo sie publik gemacht wurde wird sie garantiert ausgenutzt. Das hätte man auch intelligenter
regeln können.
Zum Vergrößern anklicken....
Nur indem man die Lücke jetzt publik macht kann man einen genügend großen öffentlichen Druck erzeugen, dass wirklich jeder sich dafür einsetzt die auch schnellstmöglichst zu schließen! Nun kann man drauf hoffen, dass die in spätestens einen Monat (SELBST bei Apple) gefixed sein sollte, ansonsten hätte sich da sicher selbst in einem Jahr noch nichts getan, wenn man diese Info nur in Entwicklerkreisen bekanntgegeben hätte!
 
AW: "ShellShock" - Lücke in Unix-Shell "Bash" zieht immer weitere Kreise

Infin1ty schrieb:
Und die meisten OS X Nutzer wissen nichts davon und träumen weiter davon wie "sicher" OS X doch ist :ugly:
Zum Vergrößern anklicken....

Da standardmäßig auf OS X kein SSH von außen auf die Maschine aktiviert ist, betrifft es OS X im "Auslieferungszustand" nur bei dem Angriffsvektor über die virtuelle Maschine (wie in den Artikeln erwähnt). Dieses Problem wird also nur einen sehr geringen Anteil der OS X User treffen...
 
AW: "ShellShock" - Lücke in Unix-Shell "Bash" zieht immer weitere Kreise

wheelychecker schrieb:
Der Code hat die gleichen Rechte, wie das Programm, dem der Parameter (also der Code) übergeben wird.
Als Nutzer kann man also nicht "einfach so" root-Rechte bekommen.
Zum Vergrößern anklicken....
Stimmt, das habe ich doof ausgedrückt - korrigiere ich gleich. "Zusätzlich ermöglicht die Lücke das Ausführen von Schadcode mit root-Rechten, sofern der Code an ein mit entsprechenden Privilegien laufendes Programm übergeben werden kann." sollte dann aber stimmen, oder? Danke für den Hinweis!

MfG Jimini
 
AW: "ShellShock" - Lücke in Unix-Shell "Bash" zieht immer weitere Kreise

Es betrifft auch nur einen sehr geringen Teil der Linux-Desktops. Am Meisten verwundebar (wie bereits bei Heartbleed) sind die Server.

Infin1ty schrieb:
Ironisch finde ich nur, dass die Lücke scheinbar seit 25 Jahren niemand gefunden hat,
jetzt wo sie publik gemacht wurde wird sie garantiert ausgenutzt. Das hätte man auch intelligenter
regeln können.
Zum Vergrößern anklicken....

RedHat (die Entdecker der Lücke) haben die GNU-Entwickler sowie die großen Distris (Debian, Ubuntu, Fedora, Arch, OpenSuse, ...) im kleinen Kreis darauf aufmerksam gemacht.
Das Ganze wurde koordiniert die Lücke sollte auf allen System gleichzeitig gefixt werden.
Problem war nur, dass irgeneine private E-Mail eines Entwicklers veröffentlicht wurde - und damit kam der Stein ins rollen...
 
AW: "ShellShock" - Lücke in Unix-Shell "Bash" zieht immer weitere Kreise

Ich habe jetzt mal bei mir auf dem Laptop getestet und es wird "verwundbar" ausgegeben, jedoch finde ich keinerlei Updates. Ich verwende Linux Mint 16.
 
AW: "ShellShock" - Lücke in Unix-Shell "Bash" zieht immer weitere Kreise

DKK007 schrieb:
Ich habe jetzt mal bei mir auf dem Laptop getestet und es wird "verwundbar" ausgegeben, jedoch finde ich keinerlei Updates. Ich verwende Linux Mint 16.
Zum Vergrößern anklicken....
Linux Mint 16 (das auf Ubuntu 13.10 basiert) hatte auch nur bis Juli 2014 Support. Du solltest auf Linux Mint 17 (das auf Ubuntu 14.04 LTS basiert) umsteigen, da erhälst du bis April 2019 Updates.

Hier erfährst du mehr : https://wiki.ubuntu.com/LTS
 
Zuletzt bearbeitet:
AW: "ShellShock" - Lücke in Unix-Shell "Bash" zieht immer weitere Kreise

Mint 16 ist doch erst von nem knappen Jahr raus gekommen. Ich dachte immer die Nicht-LTS-Versionen haben 18 Monate Support und nicht nur ein halbes Jahr.
 
AW: "ShellShock" - Lücke in Unix-Shell "Bash" zieht immer weitere Kreise

DKK007 schrieb:
Mint 16 ist doch erst von nem knappen Jahr raus gekommen. Ich dachte immer die Nicht-LTS-Versionen haben 18 Monate Support und nicht nur ein halbes Jahr.
Zum Vergrößern anklicken....
Das war mal. Die Ubuntu 12.10 war die letzte mit 18 Monate Support. Die darauffolgenden haben nun 9 Monate (bzw. Mint hat 8 Monate, da Mint meist 1 Monat nach Ubuntu veröffentlicht wird), bis auf natürlich die LTS. Da wurde der Support von 3 Jahre auf 5 Jahre erhöht und die Serveredition dafür gestrichen (da durch LTS ersetzt). Deshalb geht die aktuelle LTS bis 2019.
 
Zuletzt bearbeitet:
AW: "ShellShock" - Lücke in Unix-Shell "Bash" zieht immer weitere Kreise

Nochmal für mich als Windows Volltrottel:

Ich als Windows 7 Nutzer, der noch nie mit Linux und MacOS in Berührung kam, braucht sich keine Sorgen um die Sicherheit seines PC's zu machen? :ugly:
 
AW: "ShellShock" - Lücke in Unix-Shell "Bash" zieht immer weitere Kreise

Jeanboy schrieb:
Ich als Windows 7 Nutzer, der noch nie mit Linux und MacOS in Berührung kam, braucht sich keine Sorgen um die Sicherheit seines PC's zu machen? :ugly:
Zum Vergrößern anklicken....
Nicht mehr als sonst ;)
Scherz beiseite: auch für die allermeisten Linux-User ist die Sicherheitslücke nicht sehr dramatisch.

MfG Jimini
 
AW: "ShellShock" - Lücke in Unix-Shell "Bash" zieht immer weitere Kreise

Jeanboy schrieb:
Nochmal für mich als Windows Volltrottel:

Ich als Windows 7 Nutzer, der noch nie mit Linux und MacOS in Berührung kam, braucht sich keine Sorgen um die Sicherheit seines PC's zu machen? :ugly:
Zum Vergrößern anklicken....
Wenn die Server übernommen werden (wobei dies wohl eher eine extrem kleine Zahl sein sollte) anfängt Trojaner über Werbung einzublenden und du auf so eine Seite kommst dann bist du betroffen :)

Ansonsten brauchen sich Linux Nutzer selbst auch keine Sorgen machen.
 
Zuletzt bearbeitet:
AW: "ShellShock" - Lücke in Unix-Shell "Bash" zieht immer weitere Kreise

Scherz beiseite: auch für die allermeisten Linux-User ist die Sicherheitslücke nicht sehr dramatisch.
Zum Vergrößern anklicken....
Zumindest für Desktop-User ist sie nicht sonderlich relevant. Trotzdem frage ich mich, was die da die letzten 20 Jahre lang gemacht haben. :ugly:
 
AW: "ShellShock" - Lücke in Unix-Shell "Bash" zieht immer weitere Kreise

VikingGe schrieb:
Zumindest für Desktop-User ist sie nicht sonderlich relevant. Trotzdem frage ich mich, was die da die letzten 20 Jahre lang gemacht haben. :ugly:
Zum Vergrößern anklicken....

Bei Linux besteht ja zumindest eine gute Chance, das die Lücken gefunden werden, schließlich ist es OpenSource. Microsoft hält die Lücken eher offen, damit die NSA sie nutzen kann.
 
Einloggen o. Registrieren zum Antworten.

Ähnliche Themen

Painkiller
Ripple20 - Kritische Sicherheitslücken treffen IoT-Geräte
2
Antworten
33
Aufrufe
11K
Painkiller
Painkiller
F
Adobe rät zum Update von Flash - Sicherheitslücke erlaubt ausführen von Schadcode
Antworten
6
Aufrufe
1K
Hornissentreiber
H
Incredible Alk
Blog Alkis Blog #38 - Meltdown-Panik?! Nö, lass mal.
Antworten
4
Aufrufe
754
wolflux
wolflux
TempestX1
Erneut Zero-Day Lücken in Adobe Flash gesichtet - Update: Patch verfügbar
Antworten
19
Aufrufe
2K
HeinzNurgmann
H
TempestX1
Adobe schließt (mal wieder) kritische Sicherheitslücken in Flash
Antworten
2
Aufrufe
812
zLein
Z
Oben Unten
Zurück