# "ShellShock" - Lücke in Unix-Shell "Bash" zieht immer weitere Kreise



## Jimini (26. September 2014)

*"ShellShock" - Lücke in Unix-Shell "Bash" zieht immer weitere Kreise*

Die am 24. September 2014 entdeckte Sicherheitslücke in der Unix-Shell "Bash" stellt offenbar ein größeres Problem dar als bislang angenommen. Das Schadenspotential der Lücke wurde vom us-amerikanischen NIST (National Institute of Standards and Technology) mit dem Maximalwert 10 bewertet. Grund für diese Einschätzung ist vor allem, dass die Sicherheitslücke in allen Bash-Versionen zwischen 1.14 und 4.3 besteht und somit 25 Jahre alt ist. Ferner ist Bash auf vielen unixoiden Systemen vorinstalliert und somit extrem weit verbreitet. Zusätzlich ermöglicht die Lücke das Ausführen von Schadcode mit root-Rechten, sofern der Code an ein mit entsprechenden Privilegien laufendes Programm übergeben werden kann.

*Ungefähre Arbeitsweise eines möglichen Exploits und Angriffsvektoren*
Aufgrund der Schwachstelle kann über Umgebungsvariablen Code ausgeführt werden, welcher beim Start einer  neuen Shell nicht geprüft wird. Da Bash an vielen Stellen Verwendung  findet, sind viele Angriffswege möglich. Wie RedHat in einem  Blog  berichtet, sind darüber hinaus Angriffe via DHCP denkbar. Ebenso ließen sich etwa CGI-Skripte auf Webservern mittels manipulierter GET-Requests als Einfallstor dienen. 

*Aktueller Stand*
Die meisten großen Distributionen stellten umgehend Patches für Bash bereit, welche das Problem allerdings nicht komplett beheben. Eine Aktualisierung des Systems ist dringend anzuraten, da die Lücke bereits aktiv ausgenutzt wird - unter anderem wird ein DDoS-Botnetz vermutet, welches über Systeme über die Sicherheitslücke in Bash angreift. Ebenso ist bereits ein Exploit verfügbar, welcher aus einer virtuellen Maschine in VMWare Fusion einen MacOS-Host angreifen kann. Dieser Angriff ist besonders prekär, da für MacOS bislang kein Patch zur Verfügung gestellt wurde.

*Test des eigenen Systems*
Mit dem folgenden Codeschnipsel lässt sich überprüfen, ob das eigene System anfällig für entsprechende Angriffe ist:

```
test="() { echo Hello; }; echo verwundbar" bash -c ""
```
Auf einem ungepatchten System gibt die Shell daraufhin "verwundbar" aus.

Quellen:
Wikipedia
Heise-Artikel vom 24.9.2014
Heise-Artikel vom 25.9.2014
RedHat-Blogpost vom 24.9.2014
Golem-Artikel vom 24.9.2014
Golem-Artikel vom 25.9.2014


----------



## Kusanar (26. September 2014)

*AW: "ShellShock" - Lücke in Unix-Shell "Bash" zieht immer weitere Kreise*

Hier noch der Befehl für Systeme, die den ersten (unvollständigen) Patch erhalten haben:


```
[I]X='() { function a a>\' bash -c echo; [ -e echo ] && echo "verwundbar"[/I]
```


----------



## wheelychecker (26. September 2014)

*AW: "ShellShock" - Lücke in Unix-Shell "Bash" zieht immer weitere Kreise*



Jimini schrieb:


> Zusätzlich ermöglicht die Lücke das Ausführen von Schadcode mit root-Rechten.


Stimmt so nicht!

Der Code hat die gleichen Rechte, wie das Programm, dem der Parameter (also der Code) übergeben wird.
Als Nutzer kann man also nicht "einfach so" root-Rechte bekommen.

Das heißt jedoch auch, wenn der Code im Parameter an (z.B.) einen Webserver (Apache, Nginx, ...) mit root-Rechten übergeben wird, wird der Code mit root-Rechten ausgeführt.
Es gibt jedoch auch genug Server / Deamons, die nur mit Nutzerrechten laufen.


----------



## Infin1ty (26. September 2014)

*AW: "ShellShock" - Lücke in Unix-Shell "Bash" zieht immer weitere Kreise*

Und die meisten OS X Nutzer wissen nichts davon und träumen weiter davon wie "sicher" OS X doch ist 

Ironisch finde ich nur, dass die Lücke scheinbar seit 25 Jahren niemand gefunden hat,
jetzt wo sie publik gemacht wurde wird sie garantiert ausgenutzt. Das hätte man auch intelligenter
regeln können.


----------



## CD LABS: Radon Project (26. September 2014)

*AW: "ShellShock" - Lücke in Unix-Shell "Bash" zieht immer weitere Kreise*



Infin1ty schrieb:


> Und die meisten OS X Nutzer wissen nichts davon und träumen weiter davon wie "sicher" OS X doch ist
> 
> Ironisch finde ich nur, dass die Lücke scheinbar seit 25 Jahren niemand gefunden hat,
> jetzt wo sie publik gemacht wurde wird sie garantiert ausgenutzt. Das hätte man auch intelligenter
> regeln können.


 Nur indem man die Lücke jetzt publik macht kann man einen genügend großen öffentlichen Druck erzeugen, dass wirklich jeder sich dafür einsetzt die auch schnellstmöglichst zu schließen! Nun kann man drauf hoffen, dass die in spätestens einen Monat (SELBST bei Apple) gefixed sein sollte, ansonsten hätte sich da sicher selbst in einem Jahr noch nichts getan, wenn man diese Info nur in Entwicklerkreisen bekanntgegeben hätte!


----------



## Kusanar (26. September 2014)

*AW: "ShellShock" - Lücke in Unix-Shell "Bash" zieht immer weitere Kreise*



Infin1ty schrieb:


> Und die meisten OS X Nutzer wissen nichts davon und träumen weiter davon wie "sicher" OS X doch ist



Da standardmäßig auf OS X kein SSH von außen auf die Maschine aktiviert ist, betrifft es OS X im "Auslieferungszustand" nur bei dem Angriffsvektor über die virtuelle Maschine (wie in den Artikeln erwähnt). Dieses Problem wird also nur einen sehr geringen Anteil der OS X User treffen...


----------



## Jimini (26. September 2014)

*AW: "ShellShock" - Lücke in Unix-Shell "Bash" zieht immer weitere Kreise*



wheelychecker schrieb:


> Der Code hat die gleichen Rechte, wie das Programm, dem der Parameter (also der Code) übergeben wird.
> Als Nutzer kann man also nicht "einfach so" root-Rechte bekommen.


 Stimmt, das habe ich doof ausgedrückt - korrigiere ich gleich. "Zusätzlich ermöglicht die Lücke das Ausführen von Schadcode mit  root-Rechten, sofern der Code an ein mit entsprechenden Privilegien  laufendes Programm übergeben werden kann." sollte dann aber stimmen, oder? Danke für den Hinweis!

MfG Jimini


----------



## wheelychecker (26. September 2014)

*AW: "ShellShock" - Lücke in Unix-Shell "Bash" zieht immer weitere Kreise*

Es betrifft auch nur einen sehr geringen Teil der Linux-Desktops. Am Meisten verwundebar (wie bereits bei Heartbleed) sind die Server.



Infin1ty schrieb:


> Ironisch finde ich nur, dass die Lücke scheinbar seit 25 Jahren niemand gefunden hat,
> jetzt wo sie publik gemacht wurde wird sie garantiert ausgenutzt. Das hätte man auch intelligenter
> regeln können.



RedHat (die Entdecker der Lücke) haben die GNU-Entwickler sowie die großen Distris (Debian, Ubuntu, Fedora, Arch, OpenSuse, ...) im kleinen Kreis darauf aufmerksam gemacht.
Das Ganze wurde koordiniert die Lücke sollte auf allen System gleichzeitig gefixt werden.
Problem war nur, dass irgeneine private E-Mail eines Entwicklers veröffentlicht wurde - und damit kam der Stein ins rollen...


----------



## DKK007 (26. September 2014)

*AW: "ShellShock" - Lücke in Unix-Shell "Bash" zieht immer weitere Kreise*

Ich habe jetzt mal bei mir auf dem Laptop getestet und es wird "verwundbar" ausgegeben, jedoch finde ich keinerlei Updates. Ich verwende Linux Mint 16.


----------



## TempestX1 (26. September 2014)

*AW: "ShellShock" - Lücke in Unix-Shell "Bash" zieht immer weitere Kreise*



DKK007 schrieb:


> Ich habe jetzt mal bei mir auf dem Laptop getestet und es wird "verwundbar" ausgegeben, jedoch finde ich keinerlei Updates. Ich verwende Linux Mint 16.


 Linux Mint 16 (das auf Ubuntu 13.10 basiert) hatte auch nur bis Juli 2014 Support. Du solltest auf Linux Mint 17 (das auf Ubuntu 14.04 LTS basiert) umsteigen, da erhälst du bis April 2019 Updates.

Hier erfährst du mehr : https://wiki.ubuntu.com/LTS


----------



## DKK007 (26. September 2014)

*AW: "ShellShock" - Lücke in Unix-Shell "Bash" zieht immer weitere Kreise*

Mint 16 ist doch erst von nem knappen Jahr raus gekommen. Ich dachte immer die Nicht-LTS-Versionen haben 18 Monate Support und nicht nur ein halbes Jahr.


----------



## TempestX1 (27. September 2014)

*AW: "ShellShock" - Lücke in Unix-Shell "Bash" zieht immer weitere Kreise*



DKK007 schrieb:


> Mint 16 ist doch erst von nem knappen Jahr raus gekommen. Ich dachte immer die Nicht-LTS-Versionen haben 18 Monate Support und nicht nur ein halbes Jahr.


Das war mal. Die Ubuntu 12.10 war die letzte mit 18 Monate Support. Die darauffolgenden haben nun 9 Monate (bzw. Mint hat 8 Monate, da Mint meist 1 Monat nach Ubuntu veröffentlicht wird), bis auf natürlich die LTS. Da wurde der Support von 3 Jahre auf 5 Jahre erhöht und die Serveredition dafür gestrichen (da durch LTS ersetzt). Deshalb geht die aktuelle LTS bis 2019.


----------



## Jeanboy (28. September 2014)

*AW: "ShellShock" - Lücke in Unix-Shell "Bash" zieht immer weitere Kreise*

Nochmal für mich als Windows Volltrottel:

Ich als Windows 7 Nutzer, der noch nie mit Linux und MacOS in Berührung kam, braucht sich keine Sorgen um die Sicherheit seines PC's zu machen?


----------



## Jimini (28. September 2014)

*AW: "ShellShock" - Lücke in Unix-Shell "Bash" zieht immer weitere Kreise*



Jeanboy schrieb:


> Ich als Windows 7 Nutzer, der noch nie mit Linux und MacOS in Berührung kam, braucht sich keine Sorgen um die Sicherheit seines PC's zu machen?


 Nicht mehr als sonst 
Scherz beiseite: auch für die allermeisten Linux-User ist die Sicherheitslücke nicht sehr dramatisch. 

MfG Jimini


----------



## TempestX1 (28. September 2014)

*AW: "ShellShock" - Lücke in Unix-Shell "Bash" zieht immer weitere Kreise*



Jeanboy schrieb:


> Nochmal für mich als Windows Volltrottel:
> 
> Ich als Windows 7 Nutzer, der noch nie mit Linux und MacOS in Berührung kam, braucht sich keine Sorgen um die Sicherheit seines PC's zu machen?


 Wenn die Server übernommen werden (wobei dies wohl eher eine extrem kleine Zahl sein sollte) anfängt Trojaner über Werbung einzublenden und du auf so eine Seite kommst dann bist du betroffen 

Ansonsten brauchen sich Linux Nutzer selbst auch keine Sorgen machen.


----------



## Jeanboy (28. September 2014)

*AW: "ShellShock" - Lücke in Unix-Shell "Bash" zieht immer weitere Kreise*

Alles klar, danke


----------



## VikingGe (28. September 2014)

*AW: "ShellShock" - Lücke in Unix-Shell "Bash" zieht immer weitere Kreise*



> Scherz beiseite: auch für die allermeisten Linux-User ist die Sicherheitslücke nicht sehr dramatisch.


Zumindest für Desktop-User ist sie nicht sonderlich relevant. Trotzdem frage ich mich, was die da die letzten 20 Jahre lang gemacht haben.


----------



## Freakless08 (28. September 2014)

*AW: "ShellShock" - Lücke in Unix-Shell "Bash" zieht immer weitere Kreise*

Und weiter? Kommt überall mal vor
Kurios: 17 Jahre alter Windows-Bug wird endlich gepatcht - News | GamersGlobal


----------



## Kusanar (29. September 2014)

*AW: "ShellShock" - Lücke in Unix-Shell "Bash" zieht immer weitere Kreise*

In Zusammenhang mit der Bash sind übrigens neue Angriffsmöglichkeiten aufgetaucht:

ShellShock, Teil 3: Noch drei Sicherheitsprobleme bei der Bash | heise online

Und die bereits bekannte Sicherheitslücke wird mittlerweile aktiv ausgenutzt, laut Heise ist bereits entsprechender Quellcode im Netz vorhanden:

Angriffe auf ShellShock-Lücke häufen sich | heise online


----------



## DKK007 (29. September 2014)

*AW: "ShellShock" - Lücke in Unix-Shell "Bash" zieht immer weitere Kreise*



VikingGe schrieb:


> Zumindest für Desktop-User ist sie nicht sonderlich relevant. Trotzdem frage ich mich, was die da die letzten 20 Jahre lang gemacht haben.


 
Bei Linux besteht ja zumindest eine gute Chance, das die Lücken gefunden werden, schließlich ist es OpenSource. Microsoft hält die Lücken eher offen, damit die NSA sie nutzen kann.


----------



## Kubiac (5. Oktober 2014)

*AW: "ShellShock" - Lücke in Unix-Shell "Bash" zieht immer weitere Kreise*



Infin1ty schrieb:


> Und die meisten OS X Nutzer wissen nichts davon und träumen weiter davon wie "sicher" OS X doch ist
> 
> Ironisch finde ich nur, dass die Lücke scheinbar seit 25 Jahren niemand gefunden hat,
> jetzt wo sie publik gemacht wurde wird sie garantiert ausgenutzt. Das hätte man auch intelligenter
> regeln können.


 
 Das ist genau anders herum. 
 Die NSA und andere Geheimorganisationen haben zu 100% seit Jahren davon gewusst und fleißig spioniert. 
 Da auf Server sehr oft Linux oder Unix  verwendet wird, war das natürlich wunderbar.
 Wer weiß was noch für Lücken existieren, von denen wir jetzt noch nichts wissen.
 Die haben IT-Experten, die Tag und Nacht nur nach Lücken suchen, um Daten abgreifen zu können.


----------



## Abductee (5. Oktober 2014)

*AW: "ShellShock" - Lücke in Unix-Shell "Bash" zieht immer weitere Kreise*



Kubiac schrieb:


> Die haben IT-Experten, die Tag und Nacht nur nach Lücken suchen, um Daten abgreifen zu können.


 
Warum so viel Arbeit?
Durch den Patriot Act können die doch die Daten einfach einfordern.
Davon mal abgesehen das sie an den Knotenpunkten sowieso ohne viel Mühe die Daten abfangen können.


----------



## Teutonnen (5. Oktober 2014)

*AW: "ShellShock" - Lücke in Unix-Shell "Bash" zieht immer weitere Kreise*



Abductee schrieb:


> Durch den Patriot Act können die doch die Daten einfach einfordern.


 
Aber nur bei Firmen mit Sitz in den USA. Bei Firmen, welche nicht unter US-Recht stehen, hilft ihnen der PA wenig.


----------



## Abductee (5. Oktober 2014)

*AW: "ShellShock" - Lücke in Unix-Shell "Bash" zieht immer weitere Kreise*

Reicht da nicht schon ein Büro dazu? Muss doch kein Hauptsitz sein?


----------



## orca113 (6. Oktober 2014)

*AW: "ShellShock" - Lücke in Unix-Shell "Bash" zieht immer weitere Kreise*

Trifft das auch Systeme mit Unix Basis wie etwa Mac OSX? Oder ist da etwa schon Abhilfe in Form von Updates für etwa Mavericks erfolgt?


----------



## Jimini (6. Oktober 2014)

*AW: "ShellShock" - Lücke in Unix-Shell "Bash" zieht immer weitere Kreise*



orca113 schrieb:


> Trifft das auch Systeme mit Unix Basis wie etwa Mac OSX? Oder ist da etwa schon Abhilfe in Form von Updates für etwa Mavericks erfolgt?


Die Sicherheitslücke betrifft alle Systeme mit Bash-Versionen zwischen 1.14 und 4.3. Für MacOS X erschien letzte Woche ein Patch, welcher allerdings von Hand installiert werden muss: Mac OS X: Bash-Update gegen ShellShock | Mac & i

MfG Jimini


----------



## orca113 (6. Oktober 2014)

*AW: "ShellShock" - Lücke in Unix-Shell "Bash" zieht immer weitere Kreise*

Ok danke für die Info!


----------



## Jimini (27. Oktober 2014)

*AW: "ShellShock" - Lücke in Unix-Shell "Bash" zieht immer weitere Kreise*

Noch ein Nachtrag, da die Shellshock-Angriffe auf Mailserver zunehmen:

Unter https://shellshocker.net/ ist beschrieben, wie man sein System etwas detaillierter auf die Lücke in testen kann. Indem man _curl https://shellshocker.net/shellshock_test.sh | bash_ ausführt, lässt sich die Anfälligkeit im Hinblick auf insgesamt 7 Sicherheitslücken testen.

MfG Jimini


----------

