Anzeige
Immer mehr Fehler werden im Funktionsparser von Bash gefunden.
Immer mehr Fehler werden im Funktionsparser von Bash gefunden. (Bild: Screenshot / Hanno Böck)

Shellshock: Immer mehr Lücken in Bash

Die ersten Fehlerkorrekturen für die Shellshock-Lücke in Bash waren unvollständig. Inzwischen ist von fünf verschiedenen Sicherheitslücken die Rede.

Anzeige

Kurz nachdem die Bash-Sicherheitslücke, die inzwischen als Shellshock bekannt ist, veröffentlicht wurde war bereits klar, dass das erste Sicherheitsupdate nicht ausreichen würde. Nach der ersten Aufregung fanden mehrere Personen weitere Probleme im Funktionsparser von Bash. Der Google-Entwickler Michał Zalewski, auch unter seinem Nickname Lcamtuf bekannt, warnt jetzt, dass noch weitere unbekannte Sicherheitslücken drohen.

Tavis Ormandy findet zweites Problem

Nach der ersten Aufregung über den ursprünglichen Bug postete am Mittwoch der Google-Angestellte Tavis Ormandy auf Twitter ein kurzes Codebeispiel, welches auch in der gepatchten Version von Bash noch zu Problemen führt. Damit lassen sich in bestimmten Konstellationen Dateien anlegen, weil ein Umleitungsoperator (>) vom Funktionsparser entsprechend interpretiert wird.

Diese Lücke hat inzwischen die ID CVE-2014-7169 erhalten. Sie ist vermutlich nicht oder nur schwer für Angriffe ausnutzbar, aber völlig ausschließen lässt es sich nicht.

Weitere Fehler nach RedHat-Analyse

Am Donnerstag wurde auf der Mailingliste OSS-Security von einem RedHat-Entwickler auf zwei weitere mögliche Fehler im Funktionsparser von Bash hingewiesen. Es handelt sich zum einen um einen fehlerhaften Array-Zugriff bei vielen Umleitungen, der unabhängig von Todd Sabin und von RedHat-Entwicklern entdeckt wurde. Dieser Fehler hat inzwischen die ID CVE-2014-7186.

Einen weiteren fehlerhaften Speicherzugriff gibt es bei der Verschachtelung von Schleifen. Dieser Fehler wurde ebenfalls von RedHat entdeckt und hat die ID CVE-2014-7187. Bislang ist unklar, ob sich diese Lücken ausnutzen lassen, es erscheint aber im Moment so, dass diese ebenso wie der von Tavis Ormandy entdeckte Bug nur ein vergleichsweise geringes Risiko darstellen.

Noch unbekannter Fehler vermutlich ausnutzbar

Michał Zalewski warnt nun, dass er einen weiteren Fehler gefunden hat und sich dieser auch sehr wahrscheinlich für Angriffe ausnutzen lässt. Zalewski hat bislang keine Details zu diesem Fehler veröffentlicht, er hat aber ebenfalls bereits eine CVE-ID erhalten und wird als CVE-2014-6277 geführt. Informiert wurden bislang lediglich der Bash-Entwickler Chet Ramey und einige wichtige Linux-Distributionen.

Zalewski empfielt, einen Patch von RedHat-Entwickler Florian Weimer einzuspielen. Dieser ändert die grundlegende Funktionsweise des Funktionsparsers für Variablen. Es werden nur noch Variablen akzeptiert, die ein bestimmtes Pre- und Suffix tragen. Das führt dazu, dass manche Skripte, die auf das bisherige Feature von Bash zum Parsen von Funktionen in Variablen angewiesen sind, nicht mehr funktionieren, eine Anpassung sollte aber in aller Regel relativ einfach sein. Einige Linux-Distributionen haben inzwischen den Patch von Florian Weimer in ihre Bash-Pakete aufgenommen. Verschiedene Personen haben auch schon Patches geschrieben, welche die Funktionalität komplett aus Bash entfernen.

Das ursprüngliche Problem bestand nur, weil Bash die Möglichkeit besitzt, Funktionen direkt über beliebige Variablennamen zu definieren. Ist diese Möglichkeit entfernt, so gibt es für Angreifer keine Möglichkeit mehr, damit einen Angriff durchzuführen. Das gilt wahrscheinlich auch dann, wenn weitere, bislang unbekannte Fehler im Funktionsparser von Bash entdeckt werden.

Unabhängig von den weiteren Fehlern in Bash sind inzwischen neue Möglichkeiten gefunden worden, Shellshock auszunutzen. So lässt sich der Mailserver qmail bei verwundbaren Bash-Versionen in manchen Konfigurationen mittels E-Mails zum Ausführen von Code missbrauchen. Verschiedene SIP-Server, darunter Kamailio und Opensips, lassen sich ebenfalls mit Shellshock angreifen.

Nachtrag vom 29.09.2014, 23:20 Uhr

Zalewski berichtet inzwischen von einer weiteren Lücke, die sich angeblich ebenso einfach ausnutzen lässt wie die ursprüngliche Shellshock-Lücke (CVE-2014-6278). Eine Abwandlung von Florian Weimers Patch ist inzwischen als offizielles Bash-Release veröffentlicht worden.

Der Autor dieses Artikels hat ein Script erstellt, mit dem sich ein System auf alle bisher bekannten Fehler testen lässt.


eye home zur Startseite
RXD 03. Okt 2014

Also, unter Windows (cmd) geht das genauso, nur der Trennstring ist ein anderer. http...

theonlyone 29. Sep 2014

Was er im groben schreibt ist ja praktisch Test-Driven zu entwickeln, zu jedem Code...

Dubu 29. Sep 2014

Na, da würde ich mir doch fast eher Gedanken machen, inwiefern die Firewalls anfällig...

twothe 29. Sep 2014

Die benutzen aber alle die Apache Commons.

Paldoma 29. Sep 2014

Die Lücken in OS Systemen wird es immer geben, nachdem man ganz einfach die FEhler...

Kommentieren



Anzeige

  1. Manager Software Development (m/w)
    TAKATA AG, Berlin und Aschaffenburg
  2. Projektingenieur MES (m/w)
    Roche Diagnostics GmbH, Mannheim
  3. Java Software-Entwickler (m/w)
    Clausohm-Software GmbH, Neverin, Berlin, Aachen
  4. IT Spezialist Datensicherung (m/w)
    Hornbach-Baumarkt-AG, Großraum Mannheim/Karlsruhe

Detailsuche



Anzeige
Top-Angebote
  1. NUR NOCH HEUTE: Logitech G610 Orion Brown
    92,52€ statt 112,52€ (Vergleichspreise ab ca. 109€)
  2. NUR NOCH HEUTE: Logitech G900 Chaos Spectrum (kabelgebunden/kabellos)
    159,00€ statt 179,00€ (Vergleichspreise ab ca. 179€)
  3. NUR NOCH HEUTE: Gratis Roccat Lua Tri-Button Maus + Kanga Cloth Mousepad Bundle bei Kauf einer ausgewählten Gainward-Grafikkarte

Weitere Angebote


Folgen Sie uns
       


  1. Ultra Compact Network

    Nokia baut LTE-Station als Rucksacklösung

  2. Juniper EX2300-C-12T/P

    Kompakt, lüfterlos und mit 124 Watt Powerbudget

  3. Vorratsdatenspeicherung

    Alarm im VDS-Tresor

  4. Be Quiet Silent Loop

    Sei leise, Wasserkühlung!

  5. Kryptowährung

    Australische Behörden versteigern beschlagnahmte Bitcoins

  6. ZUK Z2

    Android-Smartphone mit Snapdragon 820 für 245 Euro

  7. Zenbook 3 im Hands on

    Kleiner, leichter und schneller als das Macbook

  8. Autokauf

    Landgericht Köln entdeckt, dass SMS sich löschen lassen

  9. Toughpad FZ-B2 Mk 2

    Panasonic zeigt neues Full-Ruggedized-Tablet mit Android

  10. Charm

    Samsungs Fitness-Tracker mit langer Laufzeit kostet 30 Euro



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
GPD XD im Test: Zwischen Nintendo 3DS und PS Vita ist noch Platz
GPD XD im Test
Zwischen Nintendo 3DS und PS Vita ist noch Platz
  1. Gran Turismo Sport Ein Bündnis mit der Realität
  2. Xbox Scorpio Schneller als Playstation Neo und mit Rift-Unterstützung
  3. AMD Drei Konsolen-Chips für 2017 angekündigt

Xperia X im Hands on: Sonys vorgetäuschte Oberklasse
Xperia X im Hands on
Sonys vorgetäuschte Oberklasse
  1. Die Woche im Video Die Schoko-Burger-Woche bei Golem.de - mmhhhh!
  2. Android 6.0 Ein großer Haufen Marshmallow für Samsung und Co.
  3. Google Android N erscheint auch für Nicht-Nexus-Smartphones

Oracle vs. Google: Wie man Geschworene am besten verwirrt
Oracle vs. Google
Wie man Geschworene am besten verwirrt
  1. Oracle-Anwältin nach Niederlage "Google hat die GPL getötet"
  2. Java-Rechtsstreit Oracle verliert gegen Google
  3. Oracle vs. Google Wie viel Fair Use steckt in 11.000 Codezeilen?

  1. Re: Funktioniert auch mit VLC

    MeisterLampe2 | 21:44

  2. Re: was nützs, wenn darauf windows läuft?

    nr69 | 21:42

  3. Re: "..sichtlich genossen.."

    User_x | 21:40

  4. Re: Und da schiesst sich die AFD auf Boateng ein

    Hardcoreler | 21:39

  5. Re: Erfahrungsbericht

    Emulex | 21:35


  1. 19:26

  2. 18:41

  3. 18:36

  4. 18:16

  5. 18:11

  6. 17:31

  7. 17:26

  8. 16:48


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel