Abo
  • IT-Karriere:

Shellshock: Alle Bash-Lücken gepatcht

Die jüngsten Patches für Bash beheben jetzt alle Lücken im Funktionsparser, die zu Shellshock und diversen Varianten geführt haben. Sicherheitskritisch sind die letzten Updates jedoch nicht mehr.

Artikel veröffentlicht am , Hanno Böck
Alle sechs Fehler im Bash-Funktionsparser wurden behoben.
Alle sechs Fehler im Bash-Funktionsparser wurden behoben. (Bild: Screenshot)

Der Bash-Entwickler Chet Ramey hat neue Versionen herausgegeben, die nun sämtliche Fehler beheben, die im Zusammenhang mit Shellshock bekannt geworden sind. Für Bash 4.3 steht das Patchlevel 030 bereit, für Bash 4.2 das Patchlevel 053. Auch für diverse ältere Bash-Versionen stehen Updates bereit.

Stellenmarkt
  1. ESWE Versorgungs AG, Wiesbaden
  2. H&D - An HCL Technologies Company, Gifhorn

Nach dem Bekanntwerden der Bash-Sicherheitlsücke Shellshock war schnell klar, dass der ursprüngliche Patch nicht alle Fehler beheben würde. Inzwischen sind insgesamt sechs Sicherheitslücken im Parser von Bash aufgetaucht. Besonders die letzte von Michal Zalewski entdeckte Lücke sorgte für Aufsehen, denn sie lässt sich genauso leicht wie die ursprüngliche Shellshock-Lücke ausnutzen.

Sicherheitskritisch sind die jüngsten Patches nicht mehr. Nachdem klar wurde, dass der Funktionsparser von Bash mehrere Probleme hat, wurde von Redhat-Entwickler Florian Weimer ein Patch erstellt, der den Import von Funktionen nur noch mit einem festen Pre- und Suffix erlaubt. Dieser Patch oder Varianten davon wurden inzwischen von fast allen Linux-Distributionen und von OS X übernommen. Auch die offiziellen Bash-Releases enthalten eine Variante dieses Patches.

Ursprünglich konnte man in Bash Funktionen einfach importieren, indem man eine beliebige Variable mit der Definition der Funktion füllte. Das sah beispielsweise so aus:

env x="() { echo test;}" bash -c x

Mit einer neuen Bash-Version ist das nicht mehr möglich, die Funktionsvariable muss mit BASH_FUNC_ beginnen und mit %% enden:

env "BASH_FUNC_x%%"="() { echo test; }" bash -c x

Durch diese Prefix-Variante sind die Lücken im Funktionsparser nur noch als gewöhnliche, harmlose Bugs anzusehen, von denen kein Sicherheitsrisiko ausgeht. Behoben wurden sie nun trotzdem alle.

Vom Autor dieses Artikels wurde ein Testscript namens bashcheck erstellt, welches Bash auf alle sechs bekannten Lücken testet. Das Skript überprüft auch, ob der wichtige Prefix/Suffix-Patch installiert ist.



Anzeige
Spiele-Angebote
  1. 4,67€
  2. (-65%) 3,50€
  3. 4,99€
  4. 4,99€

niabot 06. Okt 2014

Der Angreifer kann sich den Variablennamen nicht frei aussuchen. Diese Variablen werden...

friendlybaker 06. Okt 2014

unbekannte lücken zu patchen ist auch nicht gerade einfach


Folgen Sie uns
       


Tiemo Wölken (SPD) zu Artikel 13

Der SPD-Europaabgeordnete Tiemo Wölken hofft darauf, dass das Europaparlament am 26. März 2019 den umstrittenen Artikel 13 noch ablehnt.

Tiemo Wölken (SPD) zu Artikel 13 Video aufrufen
Adblock Plus: Adblock-Filterregeln können Code ausführen
Adblock Plus
Adblock-Filterregeln können Code ausführen

Unter bestimmten Voraussetzungen können Filterregeln für Adblocker mit einer neuen Funktion Javascript-Code in Webseiten einfügen. Adblock Plus will reagieren und die entsprechende Funktion wieder entfernen. Ublock Origin ist nicht betroffen.
Von Hanno Böck

  1. Urheberrecht Axel-Springer-Verlag klagt erneut gegen Adblocker
  2. Whitelisting erlaubt Kartellamt hält Adblocker-Nutzung für "nachvollziehbar"
  3. Firefox Klar Mozilla testet offenbar Adblocker

Urheberrechtsreform: Was das Internet nicht vergessen sollte
Urheberrechtsreform
Was das Internet nicht vergessen sollte

Die Reform des europäischen Urheberrechts ist eine Niederlage für viele Netzaktivisten. Zwar sind die Folgen der Richtlinie derzeit kaum absehbar. Doch es sollten die richtigen Lehren aus der jahrelangen Debatte mit den Internetgegnern gezogen werden.
Eine Analyse von Friedhelm Greis

  1. Leistungsschutzrecht VG Media will Milliarden von Google
  2. Urheberrecht Uploadfilter und Leistungsschutzrecht endgültig beschlossen
  3. Urheberrecht Merkel bekräftigt Zustimmung zu Uploadfiltern

Online-Banking: In 150 Tagen verlieren die TAN-Zettel ihre Gültigkeit
Online-Banking
In 150 Tagen verlieren die TAN-Zettel ihre Gültigkeit

Zum 14. September 2019 wird ein wichtiger Teil der Zahlungsdiensterichtlinie 2 für die meisten Girokonto-Kunden mit Online-Zugang umgesetzt. Die meist als indizierte TAN-Liste ausgegebenen Transaktionsnummern können dann nicht mehr genutzt werden.
Von Andreas Sebayang

  1. Banking-App Comdirect empfiehlt, Sicherheitswarnung zu ignorieren

    •  /