ShellShock – CVE-2014-6271 / CVE-2014-7169

25.09.2014 | von katjaateuserv

ShellShock - CVE-2014-6271 / CVE-2014-7169

In der Unix-Shell "BASH"(Bourne-again shell) wurde eine Sicherheitslücke entdeckt, welche das Ausführen von fremden Code, also auch Schadcode erlaubt. Bei den am meisten verwendeten Distributionen sind bereits Aktualisierungen mit einem Patch ausgerollt worden. Es ist ratsam die betroffenen Systeme schnell zu aktualisieren.

Hintergrund:

Bei den verwundbaren BASH Versionen kann über Umgebungsvariablen ein Code eingefügt werden, welcher beim Start der BASH Shell dann direkt und ungeprüft ausgeführt wird. BASH wird in vielen Unix-basierten Systemen eingesetzt, welche mit dieser Lücke nun verwundbar sind. Über den genauen Umfang der Lücke und die Möglichkeiten der Ausnutzung dieser, herrscht noch keine Klarheit da schwer abzusehen ist, wie bösartige Angreifer dies umsetzen werden bzw. können.

Da BASH zudem bei vielen Programmiersprachen für Systembefehle eingesetzt wird, sind auch hier Angriffsmöglichkeiten gegeben. Der Distributionsanbieter Redhat (RHEL) hat auf seiner Webseite weitere Angriffsmöglichkeiten aufgeführt, unter anderen über DHCP-Clients und über Systemdienste:

https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environment-variables-code-injection-attack/

So prüfen Sie ob Ihr System verwundbar ist:

Um zu prüfen ob Ihr System verwundbar ist, führt man auf einer bash-Shell den folgenden Befehl aus:env x='() { :;}; echo vulnerable' bash -c "echo this is a test" Gibt die Shell die Zeichenfolge "vulnerable" aus, so ist man verwundbar und sollte die Aktualisierungen dringend einspielen.

Update 1:

Der erste Patch für den CVE-2014-6271 schließt nicht alle Möglichkeiten dieser Lücke. Es wurde daher noch CVE-2014-7169 angelegt, welcher diese restlichen Lücken aufgreift. Aktualisierungen, welche diese auch abdecken, werden in Kürze bei den Distributionen zur Verfügung gestellt. Hierfür gibt es derzeit jedoch noch keine Zeitangaben.