[SECURITY] Allgemeiner BASH Exploit - Linux Updates einspielen

[Till]

Für alle die es noch nicht gesehen haben: Es ist mal wieder ein GAU im Linux Bereich passiert, es wurde ein Lücke in der BASH Shell gefunden und diese ist über das Netz ausnutzbar. Da BASH auf fast allen Systemen installiert ist, gibt es hier dringenden Handlungsbedarf.
Mehr Infos:
http://permalink.gmane.org/gmane.linux.debian.user.security.announce/3194
http://www.csoonline.com/article/26...ity/remote-exploit-in-bash-cve-2014-6271.html

 

[nowayback]

http://www.heise.de/open/meldung/Ba...nden-2403607.html?wt_mc=rss.open.beitrag.atom

Bash-Lücke: ShellShock ist noch nicht ausgestanden

Die Sicherheitslücke in der Linux-Shell Bash, die nun unter dem Namen "ShellShock" firmiert, wird bereits als der schlimmere Bruder von Heartbleed bezeichnet. Sicher ist, dass der am Mittwoch ausgelieferte Patch weitere Lücken enthält.

 

[Till]

Na super...

 

[F4RR3LL]

Für Debian (und vermutlich auch die anderen OS) gibts n neues Update
bash 4.2+dfsg-0.1+deb7u3
Das schließt nun hoffentlich die Lücken.

Gruß Sven

 

[nowayback]

Paket sieht gut aus und sollte nun "sicher" sein.

 

[bobbybackblech]

Hier ist auch noch einmal eine URL, wo man seine Seite direkt prüfen kann:
http://shellshock.brandonpotter.com/

 

[nowayback]

Weitere Fehler nach RedHat-Analyse
Am Donnerstag wurde auf der Mailingliste OSS-Security von einem RedHat-Entwickler auf zwei weitere mögliche Fehler im Funktionsparser von Bash hingewiesen. Es handelt sich zum einen um einen fehlerhaften Array-Zugriff bei vielen Umleitungen, der unabhängig von Todd Sabin und von RedHat-Entwicklern entdeckt wurde. Dieser Fehler hat inzwischen die ID CVE-2014-7186.

Einen weiteren fehlerhaften Speicherzugriff gibt es bei der Verschachtelung von Schleifen. Dieser Fehler wurde ebenfalls von RedHat entdeckt und hat die IDCVE-2014-7187. Bislang ist unklar, ob sich diese Lücken ausnutzen lassen, es erscheint aber im Moment so, dass diese ebenso wie der von Tavis Ormandy entdeckte Bug nur ein vergleichsweise geringes Risiko darstellen.

Noch unbekannter Fehler vermutlich ausnutzbar
Michał Zalewski warnt nun, dass er einen weiteren Fehler gefunden hat und sich dieser auch sehr wahrscheinlich für Angriffe ausnutzen lässt. Zalewski hat bislang keine Details zu diesem Fehler veröffentlicht, er hat aber ebenfalls bereits eine CVE-ID erhalten und wird als CVE-2014-6277 geführt. Informiert wurden bislang lediglich der Bash-Entwickler Chet Ramey und einige wichtige Linux-Distributionen.

Quelle: http://www.golem.de/news/shellshock-immer-mehr-luecken-in-bash-1409-109483.html


https://github.com/hannob/bashcheck

Wer sein System testen will, kann es ja mal damit versuchen


Wir haben firmenintern bash erstmal verbannt. Muss eben dash vorerst herhalten.

 

[nowayback]

möglicherweise ist xenserver (basierend auf redhat) hier auch betroffen... wir stellen vermehrt angriffe darauf fest. genaue details kann ich derzeit nicht nennen, aber wer einen solchen server betreibt, möge bitte die augen offen halten.

 

[Till]

Danke für den Hinweis! Die Bash steckt ja fast überall drin, auch an stellen wo man es nicht auf den ersten Blick vermutet.

Für alle die einen ISPConfig Server betreiben und keine CGI Scripte nutzen würde ich empfehlen mod_cgi zu deaktivieren. Für php (fcgi, fpm und auch das alte mod_php) braucht Ihr das nicht. Unter Debian und Ubuntu geht es so:

a2dismod cgi
/etc/init.d/apache2 restart

 

[logifech]

Gibt es ne Möglichkeit von der BASh zur DASH zu wechseln, natürlich soll meien ISPConfig multi serve rinstallation weiterhin funktionieren?

 

[Till]

Das müsste wahrscheinlich gehen. hab ich aber nicht getestet. Die Umstellung auf bash erfolgt vor allem weil sich einige Programme mit dash nicht kompilieren lassen.

 

[logifech]

Achso, ok ich dneke Ich werd alles so lassen mit dem Update dürfte es wohl nicht mehr so eien schwere sicherheitslücke sein?

 

[F4RR3LL]

Also nach den letzten updates und den noch vorhandenen Fehlern sollte man mal die Kirche im Dorf lassen. Der Einstiegsbug war krass, der ist behoben. Nun sind noch Fehler vorhanden, die zwar ausgemerzt gehören, für Ottonormal IRC Bot Betreiber keinen Wert haben. Von daher.... cool down

Gruß Sven

 

[nowayback]

so würde ich das nicht sehen. ein fehler soll noch aus der ferne ausnutzbar sein. von daher kann es nicht schaden vorsicht walten zu lassen

 

[logifech]

Was würdet ihr den Vorschlagen lieber von der Bahn zur Dash wechseln oder bei der Bash bleiben und abwarten wie sich das Thema entwickelt?

 

[F4RR3LL]

Ich schau mir die Entwicklung an.
Für den letzten evtl remote nutzbaren Fehler gibts ja noch nicht so viel Input.

http://m.heise.de/newsticker/meldun...leme-bei-der-Bash-2404788.html?from-classic=1

 

[nowayback]

Was würdet ihr den Vorschlagen lieber von der Bahn zur Dash wechseln oder bei der Bash bleiben und abwarten wie sich das Thema entwickelt?

Wir haben in der Firma vorerst auf dash umgestellt, privat läuft bei mir noch bash, aber privat ist es ein kalkulierbares risiko für mich. Du wirst deine Entscheidung wohl auch für dich treffen müssen. Es gibt da kein Patentrezept. Wenn du bash weiter nutzen willst, dann schau das du den Patch von Weimer installieren kannst (http://www.openwall.com/lists/oss-security/2014/09/25/13)

 

[bobbybackblech]

Bzgl. des Bugs - Kann ich hier praktisch einfach "apt-get update / upgrade" machen um den Bug zu beheben ? ( abgesehen von shell -> dash )

 

[Till]

Ja, immer regelmäßig die OS Updates einspielen.

 

[bobbybackblech]

Kann mir das irgendwas zerschiessen mit aktuellen Konfigurationen von nginx / php oder dergleichen ?

PS: Muss ich hier noch irgend etwas eingeben ?
Denn dort macht er nicht weiter