[Warning] Kritische Sicherheitslücke in bash

Robert Waldner waldner at cert.at
Thu Sep 25 08:20:19 CEST 2014 

25. September 2014

Beschreibung

   In der verbreiteten UNIX/Linux-Shell 'bash' (Bourne Again Shell)
   wurde ein Fehler in der Methode mit der Umgebungsvariablen
   verarbeitet werden entdeckt. Durch Ausnutzung dieses Fehler kann
   beliebiger Code auf betroffenen Systemen ausgeführt werden, in
   bestimmtem Situationen ist dies auch über das Netzwerk (Internet)
   möglich.

   CVE: CVE-2014-7169

   CVSS v2 metrics (von Redhat
   https://access.redhat.com/security/cve/CVE-2014-7169):
   NOTE: The following CVSS v2 metrics and score provided are
   preliminary and subject to review.
   Base Score:             5.1
   Base Metrics:           AV:N/AC:H/Au:N/C:P/I:P/A:P
   Access Vector:          Network
   Access Complexity:      High
   Authentication:         None
   Confidentiality Impact: Partial
   Integrity Impact:       Partial
   Availability Impact:    Partial

Auswirkungen

   In bash ist es möglich, nicht nur Variablen, sondern auch
   Shell-Funktionen über die Umgebung (Environment) zu übergeben.

   In bestimmten Situationen, etwa wenn auf Webservern durch CGI-Skripte
   auf System-Kommandos zugegriffen wird und die Default-Shell des
   Systems bash ist, lässt sich dies auch über das Netzwerk ausnutzen,
   um auf diesen Systemen beliebigen Code mit den Rechten des Webservers
   auszuführen, je nach Konfiguration auch ohne Authentication.

   Systeme, auf denen etwa per ssh nur bestimmte Kommandos (im Gegensatz
   zu interaktiven Shells) zugelassen werden, können auch von diesem
   Fehler betroffen sein.

   Systeme, die mit bestimmten DHCP-Clients (etwa ISC DHCP dhclient)
   IP-Adressen per DHCP beziehen, und dann das System über
   System-Kommandos konfigurieren, können ebenfalls betroffen sein.

Betroffene Systeme

   Alle Systeme, auf denen bash in den entsprechenden Versionen
   installiert ist. Dies ist auf den meisten GNU/Linux Distributionen
   der Fall, oft ist bash auch die Default-Shell solcher Systeme.

   Dies sind zum Beispiel (Liste nicht vollständig):
     * alle uns bekannten GNU/Linux Distributionen wie etwa
          + Debian
          + Fedora
          + CentOS
          + Red Hat Enterprise Linux
          + Gentoo
          + Ubuntu
          + Novell/SuSE
     * *BSD-Systeme, wenn bash installiert ist, wie etwa
          + OpenBSD
          + NetBSD
          + FreeBSD

   Wenn bash installiert ist, kann dies auch etwa Mac OS X, Sun Solaris,
   IBM AIX und andere UNIX-Derivate betreffen.

   Auch für Microsoft Windows existieren Methoden, UNIX-Shells zu
   benutzen (etwa "Cygwin", Microsoft Services for UNIX), dadurch kann
   es möglich sein, auch dort eine verwundbare Version von bash auf dem
   System zu haben.

   Weiters kann dies auch diverse Endgeräte betreffen, die intern auf
   GNU/Linux basieren und bash installiert haben, etwa Home-Router, WLAN
   Access Points und dergleichen.

Abhilfe

   Installation der entsprechenden gefixten Versionen der Distributionen
   bzw. Betriebssystem-Hersteller.
   Applizieren der zur Verfügung stehenden Patches und Neu-Kompilieren
   von bash.

   Speziell auf Webservern sollte auch darauf geachtet werden, in
   CGI-Skripten nur bestimmte Environment-Variablen zuzulassen, und
   diese syntaktisch zu prüfen.

   Die Default-Shell betroffener Systeme kann bis zur Installation der
   entsprechenden Patches auch auf eine andere Shell, etwa dash,
   geändert werden. Auch die Shell speziell exponierter User (etwa für
   Webserver, oft www-data) sollte bis dahin nicht bash sein. Natürlich
   sollte in diesem Fall getestet werden, ob alle notwendigen Programme
   dann noch wie gewünscht funktionieren.

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   aktiv und den Virenschutz aktuell zu halten.
     __________________________________________________________________

   Informationsquelle(n):
   Debian Security Advisory DSA-3032-1 (englisch)
   https://lists.debian.org/debian-security-announce/2014/msg00220.html
   Red Hat Security Blog Eintrag (englisch)

https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environment-variables-code-injection-attack/
   Thread auf der OSS-Sec Mailingliste (englisch)
   http://seclists.org/oss-sec/2014/q3/649
   Beitrag auf CSO Online (englisch)

http://www.csoonline.com/article/2687265/application-security/remote-exploit-in-bash-cve-2014-6271.html
   Beitrag auf Invisible Threat, inkl. Beispielen (englisch)
   https://www.invisiblethreat.ca/2014/09/cve-2014-6271/


-- 
// CERT Austria - Robert Waldner <waldner at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 819 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/cgi-bin/mailman/private/warning/attachments/20140925/299eb03c/attachment.sig>

More information about the Warning mailing list