Kategorie: News
Gefährliche Lücke in Bash
Eventuell haben Sie schon von der kürzlich erkannten Sicherheitslücke ShellShock (CVE-2014-6271) gehört. Es handelt sich dabei um eine Sicherheitslücke in Bash (Bourne-again shell) und betrifft so gut wie alle Linux basierten Systeme. Es scheint als bestünde die Sicherheitslücke schon seit den ersten Versionen von Bash und wird mittlerweile als gefährlicher als Heartbleed eingeschätzt. Es wurde zwar schon ein Patch freigegeben, dieser ist jedoch unvollständig und behebt das Problem nicht.
Mit Hilfe des Metasploit Framework ist es mittlerweile sogar schon möglich, unter Verwendung der Schwachstelle aus einer VMWare Fusion VM auszubrechen und so administrative „root“ Rechte unter Mac OSX zu erhalten.
Der Linux Distributor Red Hat ist im Moment dabei das Problem zu analysieren um die Sicherheitslücke endgültig zu schließen.
Nach jetzigem Kenntnisstand sind vor allem Linux Server die CGI Anwendungen im Web oder SSH Zugänge mir beschränkten Rechten für z.B. GIT oder CVS bereitstellen betroffen.
Im Client Bereich sind teilweise DHCP-Clients und Drucker-Dienste unter Verwendung der Sicherheitslücke angreifbar.
Solange es noch keine vollständige Lösung für das Problem gibt, empfiehlt es sich die CGI Module in Apache, falls vorhanden, zu entladen und etwaige SSH Zugänge mit beschränkten Berechtigungen zu deaktivieren.
Natürlich werden wir Sie zu diesem Thema auf dem Laufenden halten.
Update:
Red Hat hat soeben einen Patch für RHEL und Fedora veröffentlicht der die Sicherheistlücke endgültig schließen soll.
"Red Hat has released patched versions of Bash that fix CVE-2014-7169. Information regarding these updates can be found in the errata. All customers are strongly encouraged to apply the update as this flaw is being actively attacked in the wild.
Fedora has also released a patched version of Bash that fixes CVE-2014-7169. Additional information can be found on Fedora Magazine."
Quelle: https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environment-variables-code-injection-attack/
Vermutlich wird also bald auch ein Patch für die meisten anderen Versionen von Linux zur Verfügung stehen.