Abo
  • Services:
Anzeige
Immer mehr Fehler werden im Funktionsparser von Bash gefunden.
Immer mehr Fehler werden im Funktionsparser von Bash gefunden. (Bild: Screenshot / Hanno Böck)

Shellshock: Immer mehr Lücken in Bash

Die ersten Fehlerkorrekturen für die Shellshock-Lücke in Bash waren unvollständig. Inzwischen ist von fünf verschiedenen Sicherheitslücken die Rede.

Anzeige

Kurz nachdem die Bash-Sicherheitslücke, die inzwischen als Shellshock bekannt ist, veröffentlicht wurde war bereits klar, dass das erste Sicherheitsupdate nicht ausreichen würde. Nach der ersten Aufregung fanden mehrere Personen weitere Probleme im Funktionsparser von Bash. Der Google-Entwickler Michał Zalewski, auch unter seinem Nickname Lcamtuf bekannt, warnt jetzt, dass noch weitere unbekannte Sicherheitslücken drohen.

Tavis Ormandy findet zweites Problem

Nach der ersten Aufregung über den ursprünglichen Bug postete am Mittwoch der Google-Angestellte Tavis Ormandy auf Twitter ein kurzes Codebeispiel, welches auch in der gepatchten Version von Bash noch zu Problemen führt. Damit lassen sich in bestimmten Konstellationen Dateien anlegen, weil ein Umleitungsoperator (>) vom Funktionsparser entsprechend interpretiert wird.

Diese Lücke hat inzwischen die ID CVE-2014-7169 erhalten. Sie ist vermutlich nicht oder nur schwer für Angriffe ausnutzbar, aber völlig ausschließen lässt es sich nicht.

Weitere Fehler nach RedHat-Analyse

Am Donnerstag wurde auf der Mailingliste OSS-Security von einem RedHat-Entwickler auf zwei weitere mögliche Fehler im Funktionsparser von Bash hingewiesen. Es handelt sich zum einen um einen fehlerhaften Array-Zugriff bei vielen Umleitungen, der unabhängig von Todd Sabin und von RedHat-Entwicklern entdeckt wurde. Dieser Fehler hat inzwischen die ID CVE-2014-7186.

Einen weiteren fehlerhaften Speicherzugriff gibt es bei der Verschachtelung von Schleifen. Dieser Fehler wurde ebenfalls von RedHat entdeckt und hat die ID CVE-2014-7187. Bislang ist unklar, ob sich diese Lücken ausnutzen lassen, es erscheint aber im Moment so, dass diese ebenso wie der von Tavis Ormandy entdeckte Bug nur ein vergleichsweise geringes Risiko darstellen.

Noch unbekannter Fehler vermutlich ausnutzbar

Michał Zalewski warnt nun, dass er einen weiteren Fehler gefunden hat und sich dieser auch sehr wahrscheinlich für Angriffe ausnutzen lässt. Zalewski hat bislang keine Details zu diesem Fehler veröffentlicht, er hat aber ebenfalls bereits eine CVE-ID erhalten und wird als CVE-2014-6277 geführt. Informiert wurden bislang lediglich der Bash-Entwickler Chet Ramey und einige wichtige Linux-Distributionen.

Zalewski empfielt, einen Patch von RedHat-Entwickler Florian Weimer einzuspielen. Dieser ändert die grundlegende Funktionsweise des Funktionsparsers für Variablen. Es werden nur noch Variablen akzeptiert, die ein bestimmtes Pre- und Suffix tragen. Das führt dazu, dass manche Skripte, die auf das bisherige Feature von Bash zum Parsen von Funktionen in Variablen angewiesen sind, nicht mehr funktionieren, eine Anpassung sollte aber in aller Regel relativ einfach sein. Einige Linux-Distributionen haben inzwischen den Patch von Florian Weimer in ihre Bash-Pakete aufgenommen. Verschiedene Personen haben auch schon Patches geschrieben, welche die Funktionalität komplett aus Bash entfernen.

Das ursprüngliche Problem bestand nur, weil Bash die Möglichkeit besitzt, Funktionen direkt über beliebige Variablennamen zu definieren. Ist diese Möglichkeit entfernt, so gibt es für Angreifer keine Möglichkeit mehr, damit einen Angriff durchzuführen. Das gilt wahrscheinlich auch dann, wenn weitere, bislang unbekannte Fehler im Funktionsparser von Bash entdeckt werden.

Unabhängig von den weiteren Fehlern in Bash sind inzwischen neue Möglichkeiten gefunden worden, Shellshock auszunutzen. So lässt sich der Mailserver qmail bei verwundbaren Bash-Versionen in manchen Konfigurationen mittels E-Mails zum Ausführen von Code missbrauchen. Verschiedene SIP-Server, darunter Kamailio und Opensips, lassen sich ebenfalls mit Shellshock angreifen.

Nachtrag vom 29.09.2014, 23:20 Uhr

Zalewski berichtet inzwischen von einer weiteren Lücke, die sich angeblich ebenso einfach ausnutzen lässt wie die ursprüngliche Shellshock-Lücke (CVE-2014-6278). Eine Abwandlung von Florian Weimers Patch ist inzwischen als offizielles Bash-Release veröffentlicht worden.

Der Autor dieses Artikels hat ein Script erstellt, mit dem sich ein System auf alle bisher bekannten Fehler testen lässt.


eye home zur Startseite
RXD 03. Okt 2014

Also, unter Windows (cmd) geht das genauso, nur der Trennstring ist ein anderer. http...

theonlyone 29. Sep 2014

Was er im groben schreibt ist ja praktisch Test-Driven zu entwickeln, zu jedem Code...

Dubu 29. Sep 2014

Na, da würde ich mir doch fast eher Gedanken machen, inwiefern die Firewalls anfällig...

twothe 29. Sep 2014

Die benutzen aber alle die Apache Commons.

Paldoma 29. Sep 2014

Die Lücken in OS Systemen wird es immer geben, nachdem man ganz einfach die FEhler...



Anzeige

Stellenmarkt
  1. ALDI SÜD, Mülheim an der Ruhr
  2. bimoso GmbH, Hamburg, Stuttgart
  3. über Hanseatisches Personalkontor Berlin, Berlin
  4. TOMRA SYSTEMS GmbH, Langenfeld


Anzeige
Hardware-Angebote
  1. (u. a. ROG Strix GTX1080-8G-Gaming, ROG Strix GTX1070-8G-Gaming u. ROG Strix Radeon RX 460 OC)
  2. 59,90€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing
  3. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation


  1. Verbraucherzentrale

    O2-Datenautomatik dürfte vor Bundesgerichtshof gehen

  2. TLS-Zertifikate

    Symantec verpeilt es schon wieder

  3. Werbung

    Vodafone will mit DVB-T-Abschaltung einschüchtern

  4. Dr Zaber Sentry

    Mini-ITX-Gehäuse mit 7 Litern Volumen und für 30-cm-Karten

  5. Weltraumteleskop

    Erosita soll Hinweise auf Dunkle Energie finden

  6. Anonymität

    Protonmail ist als Hidden-Service verfügbar

  7. Sicherheitsbehörde

    Zitis soll von München aus Whatsapp knacken

  8. OLG München

    Sharehoster Uploaded.net haftet nicht für Nutzerinhalte

  9. Linux

    Kernel-Maintainer brauchen ein Manifest zum Arbeiten

  10. Micro Machines Word Series

    Kleine Autos in Kampfarenen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Autonomes Fahren: Laserscanner für den Massenmarkt kommen
Autonomes Fahren
Laserscanner für den Massenmarkt kommen
  1. BMW Autonome Autos sollen mehr miteinander quatschen
  2. Nissan Leaf Autonome Elektroautos rollen ab Februar auf Londons Straßen
  3. Autonomes Fahren Neodriven fährt autonom wie Geohot

Halo Wars 2 angespielt: Mit dem Warthog an die Strategiespielfront
Halo Wars 2 angespielt
Mit dem Warthog an die Strategiespielfront

Reverse Engineering: Mehr Spaß mit Amazons Dash-Button
Reverse Engineering
Mehr Spaß mit Amazons Dash-Button
  1. Online-Einkauf Amazon startet virtuelle Dash-Buttons

  1. Re: Die Karte... Californien...

    JouMxyzptlk | 18:57

  2. Re: Fischers Fritze

    Elgareth | 18:56

  3. Re: !! ACHTUNG !! Reflexartiger Aufschrei erfolgt...

    mrgenie | 18:55

  4. Re: Material

    Crossfire579 | 18:53

  5. Re: Es ist einfach in meinen Augen zu teuer.

    Seasdfgas | 18:50


  1. 19:03

  2. 18:45

  3. 18:27

  4. 18:12

  5. 17:57

  6. 17:41

  7. 17:24

  8. 17:06


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel