Sicherheitslücke in Bash

Status
Für weitere Antworten geschlossen.

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344

dany

Benutzer
Mitglied seit
31. Mrz 2008
Beiträge
352
Punkte für Reaktionen
0
Punkte
22
In den Non-IT Medien wird er schon "Heartbleed 2" genannt. Irgendwie übertrieben.

Soweit ich es verstehe, solange von Aussen die Umgebungsvariable nicht verändert werden kann, kann ja nicht passieren.
Betroffen wären z.B. wenn über Apache CGI ein Shell Script aufgerufen wird. Oder liege ich da falsch?

Gruss Dany
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
I
Betroffen wären z.B. wenn über Apache CGI ein Shell Script aufgerufen wird. Oder liege ich da falsch?
grundsätzlich alles was eine Bash aufruft. RedHat listet u.A. folgendes auf

Common Configuration Examples:

Red Hat performed an analysis to better understand the magnitude of this issue and how it affects various configurations. The below list is not exhaustive, but is meant to give some examples of how this issue affects certain configurations, and why the high level of complexity makes it impossible to specify something is not affected by this issue. The best course of action is to upgrade Bash to a fixed version.
httpdCGI scripts are likely affected by this issue: when a CGI script is run by the web server, it uses environment variables to pass data to the script. These environment variables can be controlled by the attacker. If the CGI script calls Bash, the script could execute arbitrary code as the httpd user. mod_php, mod_perl, and mod_python do not use environment variables and we believe they are not affected.
Secure Shell (SSH)It is not uncommon to restrict remote commands that a user can run via SSH, such as rsync or git. In these instances, this issue can be used to execute any command, not just the restricted command.
dhclientThe Dynamic Host Configuration Protocol Client (dhclient) is used to automatically obtain network configuration information via DHCP. This client uses various environment variables and runs Bash to configure the network interface. Connecting to a malicious DHCP server could allow an attacker to run arbitrary code on the client machine.
CUPSIt is believed that CUPS is affected by this issue. Various user supplied values are stored in environment variables when cups filters are executed.
sudoCommands run via sudo are not affected by this issue. Sudo specifically looks for environment variables that are also functions. It could still be possible for the running command to set an environment variable that could cause a Bash child process to execute arbitrary code.
FirefoxWe do not believe Firefox can be forced to set an environment variable in a manner that would allow Bash to run arbitrary commands. It is still advisable to upgrade Bash as it is common to install various plug-ins and extensions that could allow this behavior.
PostfixThe Postfix server will replace various characters with a ?. While the Postfix server does call Bash in a variety of ways, we do not believe an arbitrary environment variable can be set by the server. It is however possible that a filter could set environment variables.


Zudem auch gelesen, dass mitterweile auch zsh anfällig sein soll (https://bugzilla.redhat.com/show_bug.cgi?id=1141597#c29)
 

Udiuke

Benutzer
Mitglied seit
26. Mai 2009
Beiträge
13
Punkte für Reaktionen
0
Punkte
7
Was bedeutet das für mich als IT-Laie? Ist Synology auch davon betroffen, da ebenfalls Linux-basiert? Soll ich die DS erst mal vom Netz nehmen bis die einen Patch bereitstellen?

Danke für euer Feedback.

LG
Urs
 

dil88

Benutzer
Sehr erfahren
Mitglied seit
03. Sep 2012
Beiträge
30.834
Punkte für Reaktionen
2.272
Punkte
829
Ich wollte vorhin schon etwas genau zu dieser (potentiellen) Frage schreiben: Die bash ist nicht Bestandteil des DSM, also des Betriebssystems der DS. Die Standardshell ist Teil der buxybox und m.W. eine ash. Insofern gehe ich nicht davon aus, dass man die DS vom Netz nehmen muss.
 

hopeless

Benutzer
Mitglied seit
18. Feb 2013
Beiträge
1.066
Punkte für Reaktionen
0
Punkte
56
@ Udiuke

Das kannst du mit diesem einfachen String auf der Shell testen:

Rich (BBCode):
env x='() { :;}; echo Verwundbar!' bash -c "echo Dies ist ein Test."
 

Udiuke

Benutzer
Mitglied seit
26. Mai 2009
Beiträge
13
Punkte für Reaktionen
0
Punkte
7
Hi,

danke für Dein Feedback. Dann bin ich erst mal beruhigt :)

VG
Urs
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
die DS kann nur betroffen sein, wenn du die Bash als Shell verwendest, was im Auslieferungszustand nicht der Fall ist. Bash muss man via ipkg installieren und zur Systemshell machen, erst dann wäre eine DS betroffen. Von dem her bist du mit einer DS nicht betroffen
 

Udiuke

Benutzer
Mitglied seit
26. Mai 2009
Beiträge
13
Punkte für Reaktionen
0
Punkte
7
@hopeless

Wie mache ich das? Beispielsweise mit PuTTY?
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
...wenn das für eine gemeine DS relevant wäre, hätte das wohl jahlives auch nicht unter "Offtopic" gepostet :)
 

prologos

Benutzer
Mitglied seit
20. Feb 2011
Beiträge
130
Punkte für Reaktionen
0
Punkte
0
Vielen Dank ...

Ach Leute, bin ich froh, dass es Dieses Forum gibt. Kompetente und schnelle Information ist für mich als Laie sehr hilfreich und wichtig!

Einen Vorschlag hätte ich dann doch noch.

Wäre es möglich, dass wichtige Infos, wie diese hier, automatisch per e-mail gesendet werden?
Würde Voraussetzen, dass solche Meldungen in einem vorbestimmten Tread erscheinen,- welchen man abonnieren kann. Oder wie auch immer. Ich habe zuerst aus der Zeitung von diesem "Bash Dings" gelesen, und erst dann im Forum geschaut.

vielen Dank
prologos
 

hopeless

Benutzer
Mitglied seit
18. Feb 2013
Beiträge
1.066
Punkte für Reaktionen
0
Punkte
56
@hopeless

Wie mache ich das? Beispielsweise mit PuTTY?

Du meldest dich als root mit Putty an der DS an und gibst den String ein. Dann sieht das vermutlich so ähnlich bei dir aus:

Rich (BBCode):
nemesis> env x='() { :;}; echo Verwundbar!' bash -c "echo Dies ist ein Test."
env: bash: No such file or directory
nemesis>

auf meinem raspberry gibt es dagegen:

root@raspbmc:~# env x='() { :;}; echo Verwundbar!' bash -c "echo Dies ist ein Test."
Verwundbar!
Dies ist ein Test.
root@raspbmc:~#
 

JensLPZ

Benutzer
Mitglied seit
27. Jun 2014
Beiträge
76
Punkte für Reaktionen
0
Punkte
0
Mittlerweile gibts auch einen echten Namen dafür: ShellShock


Und: Bash-Lücke: ShellShock ist noch nicht ausgestanden:
http://www.heise.de/newsticker/meld...hock-ist-noch-nicht-ausgestanden-2403607.html


Man sollte das auf jeden Fall nicht so einfach abtun mit "Linux ist sicher" und so. Immerhin hat das Nicht-Patchen der Heartbleed-Lücke zum Syno-Locker geführt - was keiner im Vorfeld gedacht hätte.


Und auch solche Zeilen sind bedenkenswert (aus dem HEISE-Beitrag):

"...Unwirksamer Patch

Ähnlich wie bei Heartbleed schaut die ganze Hacker-Szene gerade auf Bash und klopft es nach weiteren Problemen ab. So ist jetzt schon herausgekommen, dass der am gestrigen Mittwoch von fast allen Linux-Distributionen ausgegebene Patch wohl die Lücke nicht vollständig stopft..."
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
mmerhin hat das Nicht-Patchen der Heartbleed-Lücke zum Syno-Locker geführt - was keiner im Vorfeld gedacht hätte.[/QUOTE]
hast du Belege für diese Behauptung? Das waren eher Lücken im DSM, die da ausgenutzt wurden.
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
...Und auch solche Zeilen sind bedenkenswert (aus dem HEISE-Beitrag): "...Unwirksamer Patch Ähnlich wie bei Heartbleed schaut die ganze Hacker-Szene gerade auf Bash und klopft es nach weiteren Problemen ab. So ist jetzt schon herausgekommen, dass der am gestrigen Mittwoch von fast allen Linux-Distributionen ausgegebene Patch wohl die Lücke nicht vollständig stopft..."
Das halte ich nicht für "bedenkenswert", sondern für begrüßenswert - denn jede verstärkte systematische Betrachtung schafft weitere Sicherheit. Und unter dem Begriff "Hacker" sind eben nicht nur Spitzbuben zu verstehen ;). Es wäre töricht, stattdessen nur den unmittelbaren Patch zu liefern und gut ist...
 

dil88

Benutzer
Sehr erfahren
Mitglied seit
03. Sep 2012
Beiträge
30.834
Punkte für Reaktionen
2.272
Punkte
829
Und unter dem Begriff "Hacker" sind eben nicht nur Spitzbuben zu verstehen ;).

Im Gegenteil, die Spitzbuben kenne ich auch eher unter dem Begriff "Cracker". Ich will nicht wissen, wo wir sicherheitstechnisch stünden ohne Hacker.
 

X5_492_Neo

Gesperrt
Mitglied seit
24. Sep 2008
Beiträge
2.714
Punkte für Reaktionen
2
Punkte
0
Im Gegenteil, die Spitzbuben kenne ich auch eher unter dem Begriff "Cracker". Ich will nicht wissen, wo wir sicherheitstechnisch stünden ohne Hacker.

Luke, komm auf die dunkle Seite der Macht! :D :D :D Wir haben Kekse! :p
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat