Shellshock: Immer mehr Lücken in Bash

Die ersten Fehlerkorrekturen für die Shellshock-Lücke in Bash waren unvollständig. Inzwischen ist von fünf verschiedenen Sicherheitslücken die Rede.

Artikel veröffentlicht am , Hanno Böck
Immer mehr Fehler werden im Funktionsparser von Bash gefunden.
Immer mehr Fehler werden im Funktionsparser von Bash gefunden. (Bild: Screenshot / Hanno Böck)

Kurz nachdem die Bash-Sicherheitslücke, die inzwischen als Shellshock bekannt ist, veröffentlicht wurde war bereits klar, dass das erste Sicherheitsupdate nicht ausreichen würde. Nach der ersten Aufregung fanden mehrere Personen weitere Probleme im Funktionsparser von Bash. Der Google-Entwickler Michał Zalewski, auch unter seinem Nickname Lcamtuf bekannt, warnt jetzt, dass noch weitere unbekannte Sicherheitslücken drohen.

Tavis Ormandy findet zweites Problem

Stellenmarkt
  1. Junior SAP Basis Administrator (m/w/d)
    Vereinigte Papierwarenfabriken GmbH, Feuchtwangen / Bayern
  2. Mitarbeiter (m/w/d) First Level Support/IT-Service Desk
    WDR mediagroup digital GmbH, Köln
Detailsuche

Nach der ersten Aufregung über den ursprünglichen Bug postete am Mittwoch der Google-Angestellte Tavis Ormandy auf Twitter ein kurzes Codebeispiel, welches auch in der gepatchten Version von Bash noch zu Problemen führt. Damit lassen sich in bestimmten Konstellationen Dateien anlegen, weil ein Umleitungsoperator (>) vom Funktionsparser entsprechend interpretiert wird.

Diese Lücke hat inzwischen die ID CVE-2014-7169 erhalten. Sie ist vermutlich nicht oder nur schwer für Angriffe ausnutzbar, aber völlig ausschließen lässt es sich nicht.

Weitere Fehler nach RedHat-Analyse

Am Donnerstag wurde auf der Mailingliste OSS-Security von einem RedHat-Entwickler auf zwei weitere mögliche Fehler im Funktionsparser von Bash hingewiesen. Es handelt sich zum einen um einen fehlerhaften Array-Zugriff bei vielen Umleitungen, der unabhängig von Todd Sabin und von RedHat-Entwicklern entdeckt wurde. Dieser Fehler hat inzwischen die ID CVE-2014-7186.

Golem Karrierewelt
  1. Adobe Photoshop für Social Media Anwendungen: virtueller Zwei-Tage-Workshop
    14./15.12.2022, virtuell
  2. Adobe Photoshop Grundkurs: virtueller Drei-Tage-Workshop
    05.-07.12.2022, Virtuell
Weitere IT-Trainings

Einen weiteren fehlerhaften Speicherzugriff gibt es bei der Verschachtelung von Schleifen. Dieser Fehler wurde ebenfalls von RedHat entdeckt und hat die ID CVE-2014-7187. Bislang ist unklar, ob sich diese Lücken ausnutzen lassen, es erscheint aber im Moment so, dass diese ebenso wie der von Tavis Ormandy entdeckte Bug nur ein vergleichsweise geringes Risiko darstellen.

Noch unbekannter Fehler vermutlich ausnutzbar

Michał Zalewski warnt nun, dass er einen weiteren Fehler gefunden hat und sich dieser auch sehr wahrscheinlich für Angriffe ausnutzen lässt. Zalewski hat bislang keine Details zu diesem Fehler veröffentlicht, er hat aber ebenfalls bereits eine CVE-ID erhalten und wird als CVE-2014-6277 geführt. Informiert wurden bislang lediglich der Bash-Entwickler Chet Ramey und einige wichtige Linux-Distributionen.

Zalewski empfielt, einen Patch von RedHat-Entwickler Florian Weimer einzuspielen. Dieser ändert die grundlegende Funktionsweise des Funktionsparsers für Variablen. Es werden nur noch Variablen akzeptiert, die ein bestimmtes Pre- und Suffix tragen. Das führt dazu, dass manche Skripte, die auf das bisherige Feature von Bash zum Parsen von Funktionen in Variablen angewiesen sind, nicht mehr funktionieren, eine Anpassung sollte aber in aller Regel relativ einfach sein. Einige Linux-Distributionen haben inzwischen den Patch von Florian Weimer in ihre Bash-Pakete aufgenommen. Verschiedene Personen haben auch schon Patches geschrieben, welche die Funktionalität komplett aus Bash entfernen.

Das ursprüngliche Problem bestand nur, weil Bash die Möglichkeit besitzt, Funktionen direkt über beliebige Variablennamen zu definieren. Ist diese Möglichkeit entfernt, so gibt es für Angreifer keine Möglichkeit mehr, damit einen Angriff durchzuführen. Das gilt wahrscheinlich auch dann, wenn weitere, bislang unbekannte Fehler im Funktionsparser von Bash entdeckt werden.

Unabhängig von den weiteren Fehlern in Bash sind inzwischen neue Möglichkeiten gefunden worden, Shellshock auszunutzen. So lässt sich der Mailserver qmail bei verwundbaren Bash-Versionen in manchen Konfigurationen mittels E-Mails zum Ausführen von Code missbrauchen. Verschiedene SIP-Server, darunter Kamailio und Opensips, lassen sich ebenfalls mit Shellshock angreifen.

Nachtrag vom 29.09.2014, 23:20 Uhr

Zalewski berichtet inzwischen von einer weiteren Lücke, die sich angeblich ebenso einfach ausnutzen lässt wie die ursprüngliche Shellshock-Lücke (CVE-2014-6278). Eine Abwandlung von Florian Weimers Patch ist inzwischen als offizielles Bash-Release veröffentlicht worden.

Der Autor dieses Artikels hat ein Script erstellt, mit dem sich ein System auf alle bisher bekannten Fehler testen lässt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


RXD 03. Okt 2014

Also, unter Windows (cmd) geht das genauso, nur der Trennstring ist ein anderer. http...

theonlyone 29. Sep 2014

Was er im groben schreibt ist ja praktisch Test-Driven zu entwickeln, zu jedem Code...

Dubu 29. Sep 2014

Na, da würde ich mir doch fast eher Gedanken machen, inwiefern die Firewalls anfällig...

twothe 29. Sep 2014

Die benutzen aber alle die Apache Commons.



Aktuell auf der Startseite von Golem.de
Netztest
Telekom hat laut Connect das fast perfekte Mobilfunknetz

Bei der Reichweite der Breitbandversorgung überholt Telefónica den Konkurrenten Vodafone. Die Telekom erhält 952 von maximal 1.000 Punkten.

Netztest: Telekom hat laut Connect das fast perfekte Mobilfunknetz
Artikel
  1. 400.000 Ladepunkte: Audi startet Ladesäulen-Tarif mit bis zu 0,81 Euro pro kWh
    400.000 Ladepunkte
    Audi startet Ladesäulen-Tarif mit bis zu 0,81 Euro pro kWh

    Am 1. Januar 2023 will Audi seinen Ladedienst Audi Charging starten. Bis zu 0,81 Euro pro kWh werden verlangt.

  2. Netzwerkprotokoll: Was Admins und Entwickler über IPv6 wissen müssen
    Netzwerkprotokoll
    Was Admins und Entwickler über IPv6 wissen müssen

    Sogar für IT-Profis scheint das Netzwerkprotokoll IPv6 oft ein Buch mit sieben Siegeln - und stößt bei ihnen nicht auf bedingungslose Liebe. Wir überprüfen die Vorbehalte in der Praxis und geben Tipps.
    Von Jochen Demmer

  3. Wo Long Fallen Dynasty Vorschau: Souls-like mit Schwertkampf in China
    Wo Long Fallen Dynasty Vorschau
    Souls-like mit Schwertkampf in China

    Das nächste Souls-like heißt Wo Long: Fallen Dynasty und stammt von Team Ninja. Golem.de hat beim Anspielen mehr Gegner erledigt als erwartet.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Monday bei Media Markt & Saturn • Nur noch heute: Black Friday Woche bei Amazon & NBB • MindStar: Intel Core i7 12700K 359€ • Gigabyte RX 6900 XT 799€ • Xbox Series S 222€ • Gamesplanet Winter Sale - neue Angebote • WD_BLACK SN850 1TB 129€ [Werbung]
    •  /