Article ID: 123006, created on Sep 26, 2014, last review on Dec 12, 2014

  • Applies to:
  • Operations Automation
  • Plesk for Linux/Unix
  • Virtuozzo
  • Virtuozzo containers for Linux
  • Virtuozzo hypervisor

Information

Prozesse der GNU Bash bis 4.3 können in den Werten der Umgebungsvariablen Zeichenketten nach Funktionsdefinitionen einfügen. Dadurch können Angreifer aus der Ferne beliebigen Code über eine eingerichtete Umgebung ausführen. Dies zeigt sich durch Vektoren wie das ForceCommand-Feature in OpenSSH sshd, die Module mod_cgi und mod_cgid im Apache-HTTP-Server, Skripte, die von unspezifizierten DHCP-Clients ausgeführt wurden, und andere Situationen, in denen die Einrichtung der Umgebung über eine Berechtigungsgrenze für die Bash-Ausführung hinweg durchgeführt wird (aka "ShellShock")

HINWEIS: Der ursprüngliche Patch für dieses Problem hat die Lücke nicht vollständig geschlossen. Der sich aus diesem unvollständigen Patch ergebenden Sicherheitslücke wurde die Kennung CVE-2014-7169 zugewiesen.

Kennzeichen

Bitte verwenden Sie das automatisierte Skript, um herauszufinden, ob die installierte Version von Bash anfällig ist: BashCheck

Hinweis: Die neuesten Versionen von Bash 4.3 [Ubuntu 14.x, Debian Jessie] erzeugen mit dem zuvor veröffentlichten Skript eine falsche Positivmeldung in der Prüfung auf CVE-2014-7186 (redir_stack bug).

Beispiele:

Node mit Sicherheitslücke:

$ sh bashcheck
Vulnerable to CVE-2014-6271 (original shellshock)
Vulnerable to CVE-2014-7169 (taviso bug)
./bashcheck: line 18:  6671 Segmentation fault: 11  bash -c "true $(printf '< /dev/null
Vulnerable to CVE-2014-7186 (redir_stack bug)
Test for CVE-2014-7187 not reliable without address sanitizer
Variable function parser still active, likely vulnerable to yet unknown parser bugs like CVE-2014-6277 (lcamtuf bug)

Aktualisierter Node:

$ sh bashcheck
Not vulnerable to CVE-2014-6271 (original shellshock)
Not vulnerable to CVE-2014-7169 (taviso bug)
Not vulnerable to CVE-2014-7186 (redir_stack bug)
Test for CVE-2014-7187 not reliable without address sanitizer
Variable function parser inactive, likely safe from unknown parser bugs

Lösung

Die Redhat-Sicherheitsgruppe hat die Shellshock-Sicherheitslücke in mehreren Schritten behoben und jedem dieser Schritte wurde eine eigene CVE-Kennzeichnung zugewiesen: CVE-2014-6271, CVE-2014-7169, CVE-2014-7186, CVE-2014-7187.

Hinweise zu Sicherheitsaspekten und Angriffsvektoren finden Sie im Redhat Security Blog.

Die jeweiligen Betriebssystemhersteller haben eigene fehlerbereinigte Versionen von Bash veröffentlicht:

Auch wenn es hierbei nicht um eine Sicherheitslücke in einem Parallels Produkt selbst handelt, wird dringend empfohlen, das Update zu installieren, da diese Sicherheitslücke für Angriffe über das Netzwerk missbraucht werden kann.

Nachfolgend finden Sie eine Auflistung der Artikel, die hilfreich sein können:

e0aff7830fa22f92062ee4db78133079 caea8340e2d186a540518d08602aa065 198398b282069eaf2d94a6af87dcb3ff 614fd0b754f34d5efe9627f2057b8642 5356b422f65bdad1c3e9edca5d74a1ae 400e18f6ede9f8be5575a475d2d6b0a6 a914db3fdc7a53ddcfd1b2db8f5a1b9c 56797cefb1efc9130f7c48a7d1db0f0c 29d1e90fd304f01e6420fbe60f66f838 a26b38f94253cdfbf1028d72cf3a498b 2897d76d56d2010f4e3a28f864d69223 e8e50b42231236b82df27684e7ec0beb d02f9caf3e11b191a38179103495106f 0dd5b9380c7d4884d77587f3eb0fa8ef

Email subscription for changes to this article
Save as PDF