Abo
  • Services:
Anzeige
Immer mehr Fehler werden im Funktionsparser von Bash gefunden.
Immer mehr Fehler werden im Funktionsparser von Bash gefunden. (Bild: Screenshot / Hanno Böck)

Shellshock: Immer mehr Lücken in Bash

Die ersten Fehlerkorrekturen für die Shellshock-Lücke in Bash waren unvollständig. Inzwischen ist von fünf verschiedenen Sicherheitslücken die Rede.

Anzeige

Kurz nachdem die Bash-Sicherheitslücke, die inzwischen als Shellshock bekannt ist, veröffentlicht wurde war bereits klar, dass das erste Sicherheitsupdate nicht ausreichen würde. Nach der ersten Aufregung fanden mehrere Personen weitere Probleme im Funktionsparser von Bash. Der Google-Entwickler Michał Zalewski, auch unter seinem Nickname Lcamtuf bekannt, warnt jetzt, dass noch weitere unbekannte Sicherheitslücken drohen.

Tavis Ormandy findet zweites Problem

Nach der ersten Aufregung über den ursprünglichen Bug postete am Mittwoch der Google-Angestellte Tavis Ormandy auf Twitter ein kurzes Codebeispiel, welches auch in der gepatchten Version von Bash noch zu Problemen führt. Damit lassen sich in bestimmten Konstellationen Dateien anlegen, weil ein Umleitungsoperator (>) vom Funktionsparser entsprechend interpretiert wird.

Diese Lücke hat inzwischen die ID CVE-2014-7169 erhalten. Sie ist vermutlich nicht oder nur schwer für Angriffe ausnutzbar, aber völlig ausschließen lässt es sich nicht.

Weitere Fehler nach RedHat-Analyse

Am Donnerstag wurde auf der Mailingliste OSS-Security von einem RedHat-Entwickler auf zwei weitere mögliche Fehler im Funktionsparser von Bash hingewiesen. Es handelt sich zum einen um einen fehlerhaften Array-Zugriff bei vielen Umleitungen, der unabhängig von Todd Sabin und von RedHat-Entwicklern entdeckt wurde. Dieser Fehler hat inzwischen die ID CVE-2014-7186.

Einen weiteren fehlerhaften Speicherzugriff gibt es bei der Verschachtelung von Schleifen. Dieser Fehler wurde ebenfalls von RedHat entdeckt und hat die ID CVE-2014-7187. Bislang ist unklar, ob sich diese Lücken ausnutzen lassen, es erscheint aber im Moment so, dass diese ebenso wie der von Tavis Ormandy entdeckte Bug nur ein vergleichsweise geringes Risiko darstellen.

Noch unbekannter Fehler vermutlich ausnutzbar

Michał Zalewski warnt nun, dass er einen weiteren Fehler gefunden hat und sich dieser auch sehr wahrscheinlich für Angriffe ausnutzen lässt. Zalewski hat bislang keine Details zu diesem Fehler veröffentlicht, er hat aber ebenfalls bereits eine CVE-ID erhalten und wird als CVE-2014-6277 geführt. Informiert wurden bislang lediglich der Bash-Entwickler Chet Ramey und einige wichtige Linux-Distributionen.

Zalewski empfielt, einen Patch von RedHat-Entwickler Florian Weimer einzuspielen. Dieser ändert die grundlegende Funktionsweise des Funktionsparsers für Variablen. Es werden nur noch Variablen akzeptiert, die ein bestimmtes Pre- und Suffix tragen. Das führt dazu, dass manche Skripte, die auf das bisherige Feature von Bash zum Parsen von Funktionen in Variablen angewiesen sind, nicht mehr funktionieren, eine Anpassung sollte aber in aller Regel relativ einfach sein. Einige Linux-Distributionen haben inzwischen den Patch von Florian Weimer in ihre Bash-Pakete aufgenommen. Verschiedene Personen haben auch schon Patches geschrieben, welche die Funktionalität komplett aus Bash entfernen.

Das ursprüngliche Problem bestand nur, weil Bash die Möglichkeit besitzt, Funktionen direkt über beliebige Variablennamen zu definieren. Ist diese Möglichkeit entfernt, so gibt es für Angreifer keine Möglichkeit mehr, damit einen Angriff durchzuführen. Das gilt wahrscheinlich auch dann, wenn weitere, bislang unbekannte Fehler im Funktionsparser von Bash entdeckt werden.

Unabhängig von den weiteren Fehlern in Bash sind inzwischen neue Möglichkeiten gefunden worden, Shellshock auszunutzen. So lässt sich der Mailserver qmail bei verwundbaren Bash-Versionen in manchen Konfigurationen mittels E-Mails zum Ausführen von Code missbrauchen. Verschiedene SIP-Server, darunter Kamailio und Opensips, lassen sich ebenfalls mit Shellshock angreifen.

Nachtrag vom 29.09.2014, 23:20 Uhr

Zalewski berichtet inzwischen von einer weiteren Lücke, die sich angeblich ebenso einfach ausnutzen lässt wie die ursprüngliche Shellshock-Lücke (CVE-2014-6278). Eine Abwandlung von Florian Weimers Patch ist inzwischen als offizielles Bash-Release veröffentlicht worden.

Der Autor dieses Artikels hat ein Script erstellt, mit dem sich ein System auf alle bisher bekannten Fehler testen lässt.


eye home zur Startseite
RXD 03. Okt 2014

Also, unter Windows (cmd) geht das genauso, nur der Trennstring ist ein anderer. http...

theonlyone 29. Sep 2014

Was er im groben schreibt ist ja praktisch Test-Driven zu entwickeln, zu jedem Code...

Dubu 29. Sep 2014

Na, da würde ich mir doch fast eher Gedanken machen, inwiefern die Firewalls anfällig...

twothe 29. Sep 2014

Die benutzen aber alle die Apache Commons.

Paldoma 29. Sep 2014

Die Lücken in OS Systemen wird es immer geben, nachdem man ganz einfach die FEhler...



Anzeige

Stellenmarkt
  1. LIWACOM Informationstechnik GmbH, Essen
  2. ERDINGER Weißbräu, Erding Raum München
  3. Travian Games GmbH, München
  4. über Robert Half Technology, Hamburg


Anzeige
Hardware-Angebote
  1. 49,90€
  2. 599,00€
  3. 699,00€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  2. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  3. Sicherheitskonzeption für das App-getriebene Geschäft


  1. Apple

    iPhone-Event findet am 7. September 2016 statt

  2. Fitbit

    Ausatmen mit dem Charge 2

  3. Sony

    Playstation 4 Slim bietet 5-GHz-WLAN

  4. Exploits

    Treiber der Android-Hersteller verursachen Kernel-Lücken

  5. Nike+

    Social-Media-Wirrwarr statt "Just do it"

  6. OxygenOS vs. Cyanogenmod im Test

    Ein Oneplus Three, zwei Systeme

  7. ProSiebenSat.1

    Sechs neue Apps mit kostenlosem Live-Streaming

  8. Raumfahrt

    Juno überfliegt Jupiter in geringer Distanz

  9. Epic Loot

    Ubisoft schließt sechs größere Free-to-Play-Spiele

  10. Smart Home

    Philips-Hue-Bewegungsmelder und neue Leuchten angekündigt



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Avegant Glyph aufgesetzt: Echtes Kopfkino
Avegant Glyph aufgesetzt
Echtes Kopfkino

Next Gen Memory: So soll der Speicher der nahen Zukunft aussehen
Next Gen Memory
So soll der Speicher der nahen Zukunft aussehen
  1. Arbeitsspeicher DDR5 nähert sich langsam der Marktreife
  2. SK Hynix HBM2-Stacks mit 4 GByte ab dem dritten Quartal verfügbar
  3. Arbeitsspeicher Crucial liefert erste NVDIMMs mit DDR4 aus

Wiper Blitz 2.0 im Test: Kein spießiges Rasenmähen mehr am Samstag (Teil 2)
Wiper Blitz 2.0 im Test
Kein spießiges Rasenmähen mehr am Samstag (Teil 2)
  1. Softrobotik Oktopus-Roboter wird mit Gas angetrieben
  2. Warenzustellung Schweizer Post testet autonome Lieferroboter
  3. Lockheed Martin Roboter Spider repariert Luftschiffe

  1. wer vernünftig zocken will...

    Prinzeumel | 23:17

  2. Re: Wahrscheinlich sind Windowstreiber mindestens...

    aFrI | 23:14

  3. Re: Die werden ihn wohl ausliefern

    Danijoo | 23:11

  4. Re: Mir sind die Sicherheitslücken mittlerweile egal.

    HelpbotDeluxe | 23:08

  5. Sommerloch² && schnellere Datenübertragung??

    HerrMannelig | 23:01


  1. 22:34

  2. 18:16

  3. 16:26

  4. 14:08

  5. 12:30

  6. 12:02

  7. 12:00

  8. 11:39


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel