Abo
  • IT-Karriere:

Shellshock: Alle Bash-Lücken gepatcht

Die jüngsten Patches für Bash beheben jetzt alle Lücken im Funktionsparser, die zu Shellshock und diversen Varianten geführt haben. Sicherheitskritisch sind die letzten Updates jedoch nicht mehr.

Artikel veröffentlicht am , Hanno Böck
Alle sechs Fehler im Bash-Funktionsparser wurden behoben.
Alle sechs Fehler im Bash-Funktionsparser wurden behoben. (Bild: Screenshot)

Der Bash-Entwickler Chet Ramey hat neue Versionen herausgegeben, die nun sämtliche Fehler beheben, die im Zusammenhang mit Shellshock bekannt geworden sind. Für Bash 4.3 steht das Patchlevel 030 bereit, für Bash 4.2 das Patchlevel 053. Auch für diverse ältere Bash-Versionen stehen Updates bereit.

Stellenmarkt
  1. Dr. Fritz Faulhaber GmbH & Co. KG, Schönaich
  2. Allianz Deutschland AG, München Unterföhring

Nach dem Bekanntwerden der Bash-Sicherheitlsücke Shellshock war schnell klar, dass der ursprüngliche Patch nicht alle Fehler beheben würde. Inzwischen sind insgesamt sechs Sicherheitslücken im Parser von Bash aufgetaucht. Besonders die letzte von Michal Zalewski entdeckte Lücke sorgte für Aufsehen, denn sie lässt sich genauso leicht wie die ursprüngliche Shellshock-Lücke ausnutzen.

Sicherheitskritisch sind die jüngsten Patches nicht mehr. Nachdem klar wurde, dass der Funktionsparser von Bash mehrere Probleme hat, wurde von Redhat-Entwickler Florian Weimer ein Patch erstellt, der den Import von Funktionen nur noch mit einem festen Pre- und Suffix erlaubt. Dieser Patch oder Varianten davon wurden inzwischen von fast allen Linux-Distributionen und von OS X übernommen. Auch die offiziellen Bash-Releases enthalten eine Variante dieses Patches.

Ursprünglich konnte man in Bash Funktionen einfach importieren, indem man eine beliebige Variable mit der Definition der Funktion füllte. Das sah beispielsweise so aus:

env x="() { echo test;}" bash -c x

Mit einer neuen Bash-Version ist das nicht mehr möglich, die Funktionsvariable muss mit BASH_FUNC_ beginnen und mit %% enden:

env "BASH_FUNC_x%%"="() { echo test; }" bash -c x

Durch diese Prefix-Variante sind die Lücken im Funktionsparser nur noch als gewöhnliche, harmlose Bugs anzusehen, von denen kein Sicherheitsrisiko ausgeht. Behoben wurden sie nun trotzdem alle.

Vom Autor dieses Artikels wurde ein Testscript namens bashcheck erstellt, welches Bash auf alle sechs bekannten Lücken testet. Das Skript überprüft auch, ob der wichtige Prefix/Suffix-Patch installiert ist.



Anzeige
Top-Angebote
  1. 139,00€ (Bestpreis!)
  2. (aktuell u. a. Speedlink Velator Gaming-Tastatur für 9,99€, Deepcool New Ark Gehäuse für 249...
  3. 104,90€

niabot 06. Okt 2014

Der Angreifer kann sich den Variablennamen nicht frei aussuchen. Diese Variablen werden...

friendlybaker 06. Okt 2014

unbekannte lücken zu patchen ist auch nicht gerade einfach


Folgen Sie uns
       


Transparenter OLED-Screen von Panasonic angesehen (Ifa 2019)

Der transparente OLED-Fernseher von Panasonic rückt immer näher. Auf der Ifa 2019 steht ein Prototyp, der schon jetzt Einrichtungsideen in den Kopf ruft.

Transparenter OLED-Screen von Panasonic angesehen (Ifa 2019) Video aufrufen
E-Auto: Byton zeigt die Produktionsversion des M-Byte
E-Auto
Byton zeigt die Produktionsversion des M-Byte

IAA 2019 Die Premiere von Byton in Frankfurt ist überraschend. Da der M-Byte im kommenden Jahr in China startet, ist die Vorstellung des produktionsreifen Elektroautos in Deutschland etwas Besonderes.
Ein Bericht von Dirk Kunde


    Surface Hub 2S angesehen: Das Surface Hub, das auch in kleine Meeting-Räume passt
    Surface Hub 2S angesehen
    Das Surface Hub, das auch in kleine Meeting-Räume passt

    Ifa 2019 Präsentationen teilen, Tabellen bearbeiten oder gemeinsam auf dem Whiteboard skizzieren: Das Surface Hub 2S ist eine sichtbare Weiterentwicklung des doch recht klobigen Vorgängers. Und Microsofts Pläne sind noch ambitionierter.
    Ein Hands on von Oliver Nickel

    1. Microsoft Nutzer berichten von defektem WLAN nach Surface-Update
    2. Surface Microsofts Dual-Screen-Gerät hat zwei 9-Zoll-Bildschirme
    3. Centaurus Microsoft zeigt intern ein Surface-Gerät mit zwei Displays

    Party like it's 1999: Die 510 letzten Tage von Sega
    Party like it's 1999
    Die 510 letzten Tage von Sega

    Golem retro_ Am 9.9.1999 kam in den USA mit der Sega Dreamcast die letzte Spielkonsole der 90er Jahre auf den Markt. Es sollte auch die letzte Spielkonsole von Sega werden. Aber das wusste zu diesem Zeitpunkt noch niemand.
    Von Martin Wolf


        •  /