Details und Tests zur aktuellen Bash-Sicherheitslücke: Shellshock

Hier die wichtigsten Details zur aktuellen Bash-Sicherheitslücke Shellshock. Die GNU Bourne Again Shell (Bash) ist eine Kommandozeilen-Umgebung, die in vielen Unix- und Linux-Systemen eingesetzt wird (auch Mac OSX). Die Sicherheitslücke betrifft die Bash Versionen 1.14 bis 4.3 (also schon etwas länger).

In der CVE-Datenbank des NIST wird die Lücke mittlerweile mit der maximalen Gefährlichkeit von zehn Punkten eingestuft!

Aktuell gibt es einige Szenarien, wie die Sicherheitslücke aktiv ausgenutzt werden kann:

Eines der größten Probleme stellen CGI-Skripte auf Webservern dar. Es gibt CGI-Skripte, die direkt in der Bash Sprache geschrieben wurden. Auch rufen verschiedene Programmiersprachen bei Systemaufrufen die Bash auf.
SSH-Shells, die auf bestimmte Befehle beschränkt sind (z.B. Git- und CVS-Server), können durch Shellshock ausgehebelt werden.
Manche DHCP-Clients rufen eine Bash auf und setzen dabei Variablen, die sich vom DHCP-Server kontrollieren lassen.
Der Druckerdaemon CUPS kann ausgenutzt werden.
Unter VMWare Fusion für Mac OSX ist ein Ausbrechen aus einer virtuellen Maschine möglich
Das Webinterfaces der BIG-IP-Loadbalancer der Firma F5 ist anfällig
...

Das sind die Punkte, die ich bisher kenne. Wer weitere Szenarien kennt, kann diese hier posten und ich aktualisiere die Liste. Wichtig: Nicht betroffen sind andere Shells (z.B. Dash, ZSH, Ksh oder Busybox), auch dann, wenn sie den unten genannten Test nicht bestehen.

Lösung

Einen offiziellen Bash-Patch oder ein Update gibt es bisher noch nicht. Einige Linux-Distributionen liefern bereits aktualisierte Pakete mit einem experimentellen Patch aus (gerade getestet: Ubuntu 14.04.1 hat bereits ein Update erhalten). Dieser Patch beinhaltet allerdings einen neuen Fehler CVE-2014-7169.

Logfile Analyse

Um zu prüfen, ob es schon Angriffe auf den eigenen Server gab (z.B. über CGI-Scripts) können die Administratoren ihre Logs nach Muster-Einträgen durchsuchen. Typisch ist die Zeichenkette "};",

Beispiel Logeintrag (0.0.0.0 steht für eine IP-Adresse):

0.0.0.0 - - [25/Sep/2014:09:12:11 +0300] "GET /cgi-sys/defaultwebpage.cgi HTTP/1.0" 404 2311 "-" "() { :;}; /bin/ping -c 1 0.0.0.0"

System testen

Man kann sein System mit ein paar einfachen Befehlen testen:

test="() { echo Hello; }; echo Shellshock" bash -c ""

Wird anschließend der Text "Shellshock" ohne Fehler ausgegeben, ist man höchstwahrscheinlich betroffen.
Sieht die Ausgabe aber so aus, ist man nicht betroffen:

bash: Warnung: test: ignoring function definition attempt
bash: Fehler beim Importieren der Funktionsdefinition für »test«.

Ein weiterer Test:

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Wird anschließend der Text "this is a test" ohne Fehler ausgegeben, ist man höchstwahrscheinlich betroffen. Erscheint folgendes, ist das System bereits gepatcht:

bash: Warnung: x: ignoring function definition attempt
bash: Fehler beim Importieren der Funktionsdefinition für »x«.
this is a test

Hier ein paar Tests für die zweite CVE-2014-7169:

env X='() { (a)=>\' sh -c "echo Shellshock is here"; cat echo

(X='() { (a)=>\' bash -c "echo ls /etc; cat echo")

Wer weitere Informationen oder Tests kennt: Bitte hier posten!

Gruß
Frank

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 250174

Url: https://administrator.de/knowledge/details-und-tests-zur-aktuellen-bash-sicherheitsluecke-shellshock-250174.html

Ausgedruckt am: 22.04.2025 um 19:04 Uhr

5 Kommentare

Neuester Kommentar

Hallo,

also meine centos 6.5 Server hatten den Fehler. Nach einem update kommt jetzt auf den Befehl:

test="() { echo Hello; }; echo Shellshock" bash -c ""

Überhaupt kein Reaktion mehr.

Hi Frank,

mein Test-Raspi liefert beim ersten Test kein Ergebnis.
Der weitere Test (this is a test) liefert allerdings den Text ohne Fehler aus.

Also erster Test: alles i.O.
weiterer Test: höchstwahrscheinlich betroffen

Wie kann/soll ich denn das interpretieren?

grüße
kowa