Abo
  • Services:

Shellshock: Immer mehr Lücken in Bash

Die ersten Fehlerkorrekturen für die Shellshock-Lücke in Bash waren unvollständig. Inzwischen ist von fünf verschiedenen Sicherheitslücken die Rede.

Artikel veröffentlicht am , Hanno Böck
Immer mehr Fehler werden im Funktionsparser von Bash gefunden.
Immer mehr Fehler werden im Funktionsparser von Bash gefunden. (Bild: Screenshot / Hanno Böck)

Kurz nachdem die Bash-Sicherheitslücke, die inzwischen als Shellshock bekannt ist, veröffentlicht wurde war bereits klar, dass das erste Sicherheitsupdate nicht ausreichen würde. Nach der ersten Aufregung fanden mehrere Personen weitere Probleme im Funktionsparser von Bash. Der Google-Entwickler Michał Zalewski, auch unter seinem Nickname Lcamtuf bekannt, warnt jetzt, dass noch weitere unbekannte Sicherheitslücken drohen.

Tavis Ormandy findet zweites Problem

Stellenmarkt
  1. Bank11 für Privatkunden und Handel GmbH, Neuss
  2. Information und Technik Nordrhein-Westfalen (IT.NRW), Düsseldorf

Nach der ersten Aufregung über den ursprünglichen Bug postete am Mittwoch der Google-Angestellte Tavis Ormandy auf Twitter ein kurzes Codebeispiel, welches auch in der gepatchten Version von Bash noch zu Problemen führt. Damit lassen sich in bestimmten Konstellationen Dateien anlegen, weil ein Umleitungsoperator (>) vom Funktionsparser entsprechend interpretiert wird.

Diese Lücke hat inzwischen die ID CVE-2014-7169 erhalten. Sie ist vermutlich nicht oder nur schwer für Angriffe ausnutzbar, aber völlig ausschließen lässt es sich nicht.

Weitere Fehler nach RedHat-Analyse

Am Donnerstag wurde auf der Mailingliste OSS-Security von einem RedHat-Entwickler auf zwei weitere mögliche Fehler im Funktionsparser von Bash hingewiesen. Es handelt sich zum einen um einen fehlerhaften Array-Zugriff bei vielen Umleitungen, der unabhängig von Todd Sabin und von RedHat-Entwicklern entdeckt wurde. Dieser Fehler hat inzwischen die ID CVE-2014-7186.

Einen weiteren fehlerhaften Speicherzugriff gibt es bei der Verschachtelung von Schleifen. Dieser Fehler wurde ebenfalls von RedHat entdeckt und hat die ID CVE-2014-7187. Bislang ist unklar, ob sich diese Lücken ausnutzen lassen, es erscheint aber im Moment so, dass diese ebenso wie der von Tavis Ormandy entdeckte Bug nur ein vergleichsweise geringes Risiko darstellen.

Noch unbekannter Fehler vermutlich ausnutzbar

Michał Zalewski warnt nun, dass er einen weiteren Fehler gefunden hat und sich dieser auch sehr wahrscheinlich für Angriffe ausnutzen lässt. Zalewski hat bislang keine Details zu diesem Fehler veröffentlicht, er hat aber ebenfalls bereits eine CVE-ID erhalten und wird als CVE-2014-6277 geführt. Informiert wurden bislang lediglich der Bash-Entwickler Chet Ramey und einige wichtige Linux-Distributionen.

Zalewski empfielt, einen Patch von RedHat-Entwickler Florian Weimer einzuspielen. Dieser ändert die grundlegende Funktionsweise des Funktionsparsers für Variablen. Es werden nur noch Variablen akzeptiert, die ein bestimmtes Pre- und Suffix tragen. Das führt dazu, dass manche Skripte, die auf das bisherige Feature von Bash zum Parsen von Funktionen in Variablen angewiesen sind, nicht mehr funktionieren, eine Anpassung sollte aber in aller Regel relativ einfach sein. Einige Linux-Distributionen haben inzwischen den Patch von Florian Weimer in ihre Bash-Pakete aufgenommen. Verschiedene Personen haben auch schon Patches geschrieben, welche die Funktionalität komplett aus Bash entfernen.

Das ursprüngliche Problem bestand nur, weil Bash die Möglichkeit besitzt, Funktionen direkt über beliebige Variablennamen zu definieren. Ist diese Möglichkeit entfernt, so gibt es für Angreifer keine Möglichkeit mehr, damit einen Angriff durchzuführen. Das gilt wahrscheinlich auch dann, wenn weitere, bislang unbekannte Fehler im Funktionsparser von Bash entdeckt werden.

Unabhängig von den weiteren Fehlern in Bash sind inzwischen neue Möglichkeiten gefunden worden, Shellshock auszunutzen. So lässt sich der Mailserver qmail bei verwundbaren Bash-Versionen in manchen Konfigurationen mittels E-Mails zum Ausführen von Code missbrauchen. Verschiedene SIP-Server, darunter Kamailio und Opensips, lassen sich ebenfalls mit Shellshock angreifen.

Nachtrag vom 29.09.2014, 23:20 Uhr

Zalewski berichtet inzwischen von einer weiteren Lücke, die sich angeblich ebenso einfach ausnutzen lässt wie die ursprüngliche Shellshock-Lücke (CVE-2014-6278). Eine Abwandlung von Florian Weimers Patch ist inzwischen als offizielles Bash-Release veröffentlicht worden.

Der Autor dieses Artikels hat ein Script erstellt, mit dem sich ein System auf alle bisher bekannten Fehler testen lässt.



Anzeige
Top-Angebote
  1. 77€ (Vergleichspreis 97€)
  2. 39,90€ + 5,99€ Versand oder versandkostenfrei bei Zahlung mit paydirekt (Vergleichspreis 69...
  3. für 185€ (Bestpreis!)
  4. (u. a. MSI Z370 Tomahawk für 119€ statt 143,89€ im Vergleich und Kingston A1000 240 GB M.2...

RXD 03. Okt 2014

Also, unter Windows (cmd) geht das genauso, nur der Trennstring ist ein anderer. http...

theonlyone 29. Sep 2014

Was er im groben schreibt ist ja praktisch Test-Driven zu entwickeln, zu jedem Code...

Dubu 29. Sep 2014

Na, da würde ich mir doch fast eher Gedanken machen, inwiefern die Firewalls anfällig...

twothe 29. Sep 2014

Die benutzen aber alle die Apache Commons.

Paldoma 29. Sep 2014

Die Lücken in OS Systemen wird es immer geben, nachdem man ganz einfach die FEhler...


Folgen Sie uns
       


Parrot Anafi angesehen

Angucken ja, fliegen nein: Wir waren bei der Vorstellung der neuen Drohne von Parrot dabei.

Parrot Anafi angesehen Video aufrufen
Always Connected PCs im Test: Das kann Windows 10 on Snapdragon
Always Connected PCs im Test
Das kann Windows 10 on Snapdragon

Noch keine Konkurrenz für x86-Notebooks: Die Convertibles mit Snapdragon-Chip und Windows 10 on ARM sind flott, haben LTE integriert und eine extrem lange Akkulaufzeit. Der App- und der Treiber-Support ist im Alltag teils ein Manko, aber nur eins der bisherigen Geräte überzeugt uns.
Ein Test von Marc Sauter und Oliver Nickel

  1. Qualcomm "Wir entwickeln dediziertes Silizium für Laptops"
  2. Windows 10 on ARM Microsoft plant 64-Bit-Support ab Mai 2018
  3. Always Connected PCs Vielversprechender Windows-RT-Nachfolger mit Fragezeichen

Esa: Sonnensystemforschung ohne Plutonium
Esa
Sonnensystemforschung ohne Plutonium

Forscher der Esa arbeiten an Radioisotopenbatterien, die ohne das knappe und aufwendig herzustellende Plutonium-238 auskommen. Stattdessen soll Americium-241 aus abgebrannten Brennstäben von Kernkraftwerken zum Einsatz kommen. Ein erster Prototyp ist bereits fertig.
Von Frank Wunderlich-Pfeiffer

  1. Jaxa Japanische Sonde Hayabusa 2 erreicht den Asteroiden Ryugu
  2. Mission Horizons @Astro_Alex fliegt wieder
  3. Raumfahrt China lädt die Welt zur neuen Raumstation ein

KI in der Medizin: Keine Angst vor Dr. Future
KI in der Medizin
Keine Angst vor Dr. Future

Mit Hilfe künstlicher Intelligenz können schwer erkennbare Krankheiten früher diagnostiziert und behandelt werden, doch bei Patienten löst die Technik oft Unbehagen aus. Und das ist nicht das einzige Problem.
Ein Bericht von Tim Kröplin

  1. Medizintechnik Künstliche Intelligenz erschnüffelt Krankheiten
  2. Dota 2 128.000 CPU-Kerne schlagen fünf menschliche Helden
  3. KI-Bundesverband Deutschland soll mehr für KI-Forschung tun

    •  /