[SECURITY] Allgemeiner BASH Exploit - Linux Updates einspielen

Till

Administrator
#1

nowayback

Well-Known Member
#2
#4
Für Debian (und vermutlich auch die anderen OS) gibts n neues Update
bash 4.2+dfsg-0.1+deb7u3
Das schließt nun hoffentlich die Lücken.

Gruß Sven
 

nowayback

Well-Known Member
#7
Weitere Fehler nach RedHat-Analyse
Am Donnerstag wurde auf der Mailingliste OSS-Security von einem RedHat-Entwickler auf zwei weitere mögliche Fehler im Funktionsparser von Bash hingewiesen. Es handelt sich zum einen um einen fehlerhaften Array-Zugriff bei vielen Umleitungen, der unabhängig von Todd Sabin und von RedHat-Entwicklern entdeckt wurde. Dieser Fehler hat inzwischen die ID CVE-2014-7186.

Einen weiteren fehlerhaften Speicherzugriff gibt es bei der Verschachtelung von Schleifen. Dieser Fehler wurde ebenfalls von RedHat entdeckt und hat die IDCVE-2014-7187. Bislang ist unklar, ob sich diese Lücken ausnutzen lassen, es erscheint aber im Moment so, dass diese ebenso wie der von Tavis Ormandy entdeckte Bug nur ein vergleichsweise geringes Risiko darstellen.

Noch unbekannter Fehler vermutlich ausnutzbar
Michał Zalewski warnt nun, dass er einen weiteren Fehler gefunden hat und sich dieser auch sehr wahrscheinlich für Angriffe ausnutzen lässt. Zalewski hat bislang keine Details zu diesem Fehler veröffentlicht, er hat aber ebenfalls bereits eine CVE-ID erhalten und wird als CVE-2014-6277 geführt. Informiert wurden bislang lediglich der Bash-Entwickler Chet Ramey und einige wichtige Linux-Distributionen.
Quelle: http://www.golem.de/news/shellshock-immer-mehr-luecken-in-bash-1409-109483.html


https://github.com/hannob/bashcheck

Wer sein System testen will, kann es ja mal damit versuchen


Wir haben firmenintern bash erstmal verbannt. Muss eben dash vorerst herhalten.
 

nowayback

Well-Known Member
#8
möglicherweise ist xenserver (basierend auf redhat) hier auch betroffen... wir stellen vermehrt angriffe darauf fest. genaue details kann ich derzeit nicht nennen, aber wer einen solchen server betreibt, möge bitte die augen offen halten.
 

Till

Administrator
#9
Danke für den Hinweis! Die Bash steckt ja fast überall drin, auch an stellen wo man es nicht auf den ersten Blick vermutet.

Für alle die einen ISPConfig Server betreiben und keine CGI Scripte nutzen würde ich empfehlen mod_cgi zu deaktivieren. Für php (fcgi, fpm und auch das alte mod_php) braucht Ihr das nicht. Unter Debian und Ubuntu geht es so:

a2dismod cgi
/etc/init.d/apache2 restart
 

Till

Administrator
#11
Das müsste wahrscheinlich gehen. hab ich aber nicht getestet. Die Umstellung auf bash erfolgt vor allem weil sich einige Programme mit dash nicht kompilieren lassen.
 
#13
Also nach den letzten updates und den noch vorhandenen Fehlern sollte man mal die Kirche im Dorf lassen. Der Einstiegsbug war krass, der ist behoben. Nun sind noch Fehler vorhanden, die zwar ausgemerzt gehören, für Ottonormal IRC Bot Betreiber keinen Wert haben. Von daher.... cool down ;)

Gruß Sven
 

nowayback

Well-Known Member
#17
Was würdet ihr den Vorschlagen lieber von der Bahn zur Dash wechseln oder bei der Bash bleiben und abwarten wie sich das Thema entwickelt?
Wir haben in der Firma vorerst auf dash umgestellt, privat läuft bei mir noch bash, aber privat ist es ein kalkulierbares risiko für mich. Du wirst deine Entscheidung wohl auch für dich treffen müssen. Es gibt da kein Patentrezept. Wenn du bash weiter nutzen willst, dann schau das du den Patch von Weimer installieren kannst (http://www.openwall.com/lists/oss-security/2014/09/25/13)
 

Werbung

Top