Aktuelle Sicherheitslücken

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12067

25.09.2014 - 16:04

Ich bin extra zum Patchen frueher vom Einkaufen heim gestern, nachdem ich in der Warteschlange an der Kasse wie ueblich Hackernews gelesen hatte - mein blog ist ein bash-Script via mod_cgi

issue

Rock and Stone, brother!

Registered: Feb 2003
Location: Linz
Posts: 3644

25.09.2014 - 16:18

Zitat von COLOSSUS
Ich bin extra zum Patchen frueher vom Einkaufen heim gestern, nachdem ich in der Warteschlange an der Kasse wie ueblich Hackernews gelesen hatte - mein blog ist ein bash-Script via mod_cgi

Der btw grad einen 500 Error schmeisst

Smut

takeover &amp; ether

Registered: Feb 2003
Location: VIE
Posts: 16836

25.09.2014 - 16:35

zum glück nicht auf 4000 blogs ausgerollt

sorry der musste jetzt sein

<scruplesless>

Customer

Registered: Jun 2004
Location: Switzerland
Posts: 597

25.09.2014 - 17:01

Zitat von Smut
mehr sorgen machen mir derzeit appliances udgl. da wird wohl erst im laufe der nächsten woche etwas kommen.

Sophos schrieb zu dem Thema vor ein paar Stunden auf ihrem Blog

Zitat
In the light of the recent Bash vulnerability, Sophos has reviewed all of our products to understand if any are at risk from the vulnerability. We can confirm that none – including Sophos Email Appliance, Sophos Web Appliance, PureMessage for Exchange and SAV for Linux – are vulnerable. The main user-facing components of Sophos UTM...

In der Zwischenzeit ist der Blogeintrag wieder verschwunden... Was immer das auch heissen mag... :rolleyes:

Auf ihrer UTM läuft zumindest Version 3.2.51(1), welche verwundbar ist. Wer jedoch auf ner Sophos die SSH Konsole ohne Limitierung ins Internet rausführt, dem ist eh nicht mehr zu helfen... Von daher gehe ich zur Zeit davon aus, dass dieser Shellshock für Sophos halb so wild ist...

By the way, das Skript um die Verwundbarkeit zu testen der Vollständigkeit halber:

Code:

env X="() { :;} ; echo busted" /bin/sh -c "echo completed"
env X="() { :;} ; echo busted" `which bash` -c "echo completed"

Bearbeitet von <scruplesless> am 25.09.2014, 17:04

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12067

25.09.2014 - 19:33

Zitat von IsSuE
Der btw grad einen 500 Error schmeisst

Ja, das ist durchaus Absicht. Ein beherztes `chmod 000` auf die betroffenen CGI-Scripts war der schnellste "Fix", und um Uptime/Availability meines Blogs schere ich mich jetzt nicht so sehr, wie um die anderer Ressourcen

Smut

takeover &amp; ether

Registered: Feb 2003
Location: VIE
Posts: 16836

25.09.2014 - 23:51

Debian hat den fix für 7169 als erster:
https://lists.debian.org/debian-sec...4/msg00223.html

<scruplesless>

Customer

Registered: Jun 2004
Location: Switzerland
Posts: 597

26.09.2014 - 08:37

Inzwischen gibts für viele einen Fix:

http://support.novell.com/security/...-2014-6271.html
https://www.debian.org/security/2014/dsa-3032
http://www.ubuntu.com/usn/usn-2362-1/
https://bugzilla.redhat.com/show_bu...d=CVE-2014-6271
http://centosnow.blogspot.ch/2014/0...r-centos-5.html
https://access.redhat.com/articles/1200223

Edit:
Auch interessant: http://www.heise.de/security/meldun...en-2403607.html Offenbar kommt da nochmals was...

Bearbeitet von <scruplesless> am 26.09.2014, 08:41

Smut

takeover &amp; ether

Registered: Feb 2003
Location: VIE
Posts: 16836

26.09.2014 - 08:48

auchtung, der heise beitrag ist von gestern und war selbst zu dieser uhrzeit leider schon 8 stunden hinten nach.
der erste patch: cve-6271 -> war incomplete
der zweite patch (heute nacht released: cve: 7169 ist derzeit noch nicht für alle distributionen verfügbar. für RHEL/Centos gibt es ihn mittlerweile auch, wenn auch noch nicht auf allen repo mirrors.

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12067

26.09.2014 - 08:53

<scruplesless> meinte wohl eher, dass aufgrund der erhoehten Aufmerksamkeit, die der GNU bash jetzt in der InfoSec/Auditing-Szene geschenkt werden wird, noch der eine oder andere fette Kaefer gefunden wird. So hab ich seine Aussage zumindest verstanden.

In dem ganzen Tumult um das Patchen fand ich es "schoen" von Oracle(!), dass sie ein aktualisiertes SRPM fuer CentOS/(RH)EL 4 veroeffentlicht haben. Das ist wohl die erste und einzige "gute Tat", die diese Firma jemals getan hat

Smut

takeover &amp; ether

Registered: Feb 2003
Location: VIE
Posts: 16836

26.09.2014 - 08:55

ah ok. ich war verwirrt, da die links auf cve 6271 zeigen.

GrandAdmiralThrawn

XP Nazi

Registered: Aug 2000
Location: BRUCK!
Posts: 3692

26.09.2014 - 11:37

Soweit ich das verstehe brauchst ned Mal ein bash-Skript als Contenterzeuger? Die Parameter die über HTTP daherkommen werden bei der Nutzung von CGI (so wie ich das verstanden habe) in Umgebungsvariablen hinterlegt, also wird da wohl die Shell genutzt, in deren Kontext dann das Binary bzw. der Scriptinterpreter (perl, PHP, whatever) aufgrufen wird um den Code auszuführen?

d.h. Alle CGI Lösungen auf Maschinen bei denen die Bash Standardshell ist wären betroffen?

Oder kapier ich das nicht richtig hier?

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12067

26.09.2014 - 13:31

@GTA: Nein, das verstehst du falsch. Ich kann jetzt auf die schnelle in der APR den Code zum Zitieren nicht auffinden, aber das laeuft so: nachdem der Apache httpd Request Handler entschieden hat, dass Request X mit Handler Y via mod_cgi und CGI-Script Z ausgefuehrt werden soll, legt httpd bestimmte Request-(Meta)Daten in seinem Environment ab und forkt ein Child, vermutlich via execve(3), um in diesem Child Z auszufuehren. Wenn das CGI-Script Z nun ein Textfile mit executable-Bit ist, prueft daraufhin _der Kernel_, ob das File mit der magischen Anfangssequenz "shebang" ("#!") beginnt, und fuehrt dann (ueber einen relativ grauslichen Hack incl. Race Condition...) den Text der ausfuehrbaren Datei dem stdin des hinter dem shebang notierten Interpreters zu. Bis hierher ist erstmal keine Shell involviert - aber ab hier _kann_ sie es sein, wenn es sich eben um ein echtes Shellscript handelt. Ist der Interpreter aber nicht bash, und fuehrt dieser niemals als Kindprozess (mit dem Environment, das er von httpd geerbt hat) die bash aus, bist du "sicher" vor dem Exploit, da andere Programme/Interpreter als bash ja nicht allergisch auf diese Art der Environment-"Vergiftung" reagieren.

GrandAdmiralThrawn

XP Nazi

Registered: Aug 2000
Location: BRUCK!
Posts: 3692

26.09.2014 - 13:46

Ok, alles klar, das bringt einiges an Licht in die Sache!

Nico

former person of interest

Registered: Sep 2006
Location: -
Posts: 4082

12.11.2014 - 13:49

dieser patchday ist heiß
http://m.heise.de/newsticker/meldun...ln-2452043.html

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12067

12.11.2014 - 13:51

RCE in TLS, sowohl am Client als auch am Server. Nur zum Vergleich - dagegen sind Heartbleed und Shellshock unaufregende, kleine Blips am Radar.

COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12067	25.09.2014 - 16:04 Ich bin extra zum Patchen frueher vom Einkaufen heim gestern, nachdem ich in der Warteschlange an der Kasse wie ueblich Hackernews gelesen hatte - mein blog ist ein bash-Script via mod_cgi
issue Rock and Stone, brother! Registered: Feb 2003 Location: Linz Posts: 3644	25.09.2014 - 16:18 Zitat von COLOSSUS Ich bin extra zum Patchen frueher vom Einkaufen heim gestern, nachdem ich in der Warteschlange an der Kasse wie ueblich Hackernews gelesen hatte - mein blog ist ein bash-Script via mod_cgi Der btw grad einen 500 Error schmeisst
Smut takeover &amp; ether Registered: Feb 2003 Location: VIE Posts: 16836	25.09.2014 - 16:35 zum glück nicht auf 4000 blogs ausgerollt sorry der musste jetzt sein
<scruplesless> Customer Registered: Jun 2004 Location: Switzerland Posts: 597	25.09.2014 - 17:01 Zitat von Smut mehr sorgen machen mir derzeit appliances udgl. da wird wohl erst im laufe der nächsten woche etwas kommen. Sophos schrieb zu dem Thema vor ein paar Stunden auf ihrem Blog Zitat In the light of the recent Bash vulnerability, Sophos has reviewed all of our products to understand if any are at risk from the vulnerability. We can confirm that none – including Sophos Email Appliance, Sophos Web Appliance, PureMessage for Exchange and SAV for Linux – are vulnerable. The main user-facing components of Sophos UTM... In der Zwischenzeit ist der Blogeintrag wieder verschwunden... Was immer das auch heissen mag... Auf ihrer UTM läuft zumindest Version 3.2.51(1), welche verwundbar ist. Wer jedoch auf ner Sophos die SSH Konsole ohne Limitierung ins Internet rausführt, dem ist eh nicht mehr zu helfen... Von daher gehe ich zur Zeit davon aus, dass dieser Shellshock für Sophos halb so wild ist... By the way, das Skript um die Verwundbarkeit zu testen der Vollständigkeit halber: Code: env X="() { :;} ; echo busted" /bin/sh -c "echo completed" env X="() { :;} ; echo busted" `which bash` -c "echo completed" Bearbeitet von <scruplesless> am 25.09.2014, 17:04
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12067	25.09.2014 - 19:33 Zitat von IsSuE Der btw grad einen 500 Error schmeisst Ja, das ist durchaus Absicht. Ein beherztes `chmod 000` auf die betroffenen CGI-Scripts war der schnellste "Fix", und um Uptime/Availability meines Blogs schere ich mich jetzt nicht so sehr, wie um die anderer Ressourcen
Smut takeover &amp; ether Registered: Feb 2003 Location: VIE Posts: 16836	25.09.2014 - 23:51 Debian hat den fix für 7169 als erster: https://lists.debian.org/debian-sec...4/msg00223.html
<scruplesless> Customer Registered: Jun 2004 Location: Switzerland Posts: 597	26.09.2014 - 08:37 Inzwischen gibts für viele einen Fix: http://support.novell.com/security/...-2014-6271.html https://www.debian.org/security/2014/dsa-3032 http://www.ubuntu.com/usn/usn-2362-1/ https://bugzilla.redhat.com/show_bu...d=CVE-2014-6271 http://centosnow.blogspot.ch/2014/0...r-centos-5.html https://access.redhat.com/articles/1200223 Edit: Auch interessant: http://www.heise.de/security/meldun...en-2403607.html Offenbar kommt da nochmals was... Bearbeitet von <scruplesless> am 26.09.2014, 08:41
Smut takeover &amp; ether Registered: Feb 2003 Location: VIE Posts: 16836	26.09.2014 - 08:48 auchtung, der heise beitrag ist von gestern und war selbst zu dieser uhrzeit leider schon 8 stunden hinten nach. der erste patch: cve-6271 -> war incomplete der zweite patch (heute nacht released: cve: 7169 ist derzeit noch nicht für alle distributionen verfügbar. für RHEL/Centos gibt es ihn mittlerweile auch, wenn auch noch nicht auf allen repo mirrors.
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12067	26.09.2014 - 08:53 <scruplesless> meinte wohl eher, dass aufgrund der erhoehten Aufmerksamkeit, die der GNU bash jetzt in der InfoSec/Auditing-Szene geschenkt werden wird, noch der eine oder andere fette Kaefer gefunden wird. So hab ich seine Aussage zumindest verstanden. In dem ganzen Tumult um das Patchen fand ich es "schoen" von Oracle(!), dass sie ein aktualisiertes SRPM fuer CentOS/(RH)EL 4 veroeffentlicht haben. Das ist wohl die erste und einzige "gute Tat", die diese Firma jemals getan hat
Smut takeover &amp; ether Registered: Feb 2003 Location: VIE Posts: 16836	26.09.2014 - 08:55 ah ok. ich war verwirrt, da die links auf cve 6271 zeigen.
GrandAdmiralThrawn XP Nazi Registered: Aug 2000 Location: BRUCK! Posts: 3692	26.09.2014 - 11:37 Soweit ich das verstehe brauchst ned Mal ein bash-Skript als Contenterzeuger? Die Parameter die über HTTP daherkommen werden bei der Nutzung von CGI (so wie ich das verstanden habe) in Umgebungsvariablen hinterlegt, also wird da wohl die Shell genutzt, in deren Kontext dann das Binary bzw. der Scriptinterpreter (perl, PHP, whatever) aufgrufen wird um den Code auszuführen? d.h. Alle CGI Lösungen auf Maschinen bei denen die Bash Standardshell ist wären betroffen? Oder kapier ich das nicht richtig hier?
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12067	26.09.2014 - 13:31 @GTA: Nein, das verstehst du falsch. Ich kann jetzt auf die schnelle in der APR den Code zum Zitieren nicht auffinden, aber das laeuft so: nachdem der Apache httpd Request Handler entschieden hat, dass Request X mit Handler Y via mod_cgi und CGI-Script Z ausgefuehrt werden soll, legt httpd bestimmte Request-(Meta)Daten in seinem Environment ab und forkt ein Child, vermutlich via execve(3), um in diesem Child Z auszufuehren. Wenn das CGI-Script Z nun ein Textfile mit executable-Bit ist, prueft daraufhin _der Kernel_, ob das File mit der magischen Anfangssequenz "shebang" ("#!") beginnt, und fuehrt dann (ueber einen relativ grauslichen Hack incl. Race Condition...) den Text der ausfuehrbaren Datei dem stdin des hinter dem shebang notierten Interpreters zu. Bis hierher ist erstmal keine Shell involviert - aber ab hier _kann_ sie es sein, wenn es sich eben um ein echtes Shellscript handelt. Ist der Interpreter aber nicht bash, und fuehrt dieser niemals als Kindprozess (mit dem Environment, das er von httpd geerbt hat) die bash aus, bist du "sicher" vor dem Exploit, da andere Programme/Interpreter als bash ja nicht allergisch auf diese Art der Environment-"Vergiftung" reagieren.
GrandAdmiralThrawn XP Nazi Registered: Aug 2000 Location: BRUCK! Posts: 3692	26.09.2014 - 13:46 Ok, alles klar, das bringt einiges an Licht in die Sache!
Nico former person of interest Registered: Sep 2006 Location: - Posts: 4082	12.11.2014 - 13:49 dieser patchday ist heiß http://m.heise.de/newsticker/meldun...ln-2452043.html
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12067	12.11.2014 - 13:51 RCE in TLS, sowohl am Client als auch am Server. Nur zum Vergleich - dagegen sind Heartbleed und Shellshock unaufregende, kleine Blips am Radar.

Aktuelle Sicherheitslücken

Forum Index > Software > Applications, Apps & Drivers

COLOSSUS

issue

Smut

<scruplesless>

COLOSSUS

Smut

<scruplesless>

Smut

COLOSSUS

Smut

GrandAdmiralThrawn

COLOSSUS

GrandAdmiralThrawn

Nico

COLOSSUS