bash korrumpierbar

Beitrag von **habakug** » 26.09.2014 20:24:57

Hallo!

Ja, die Verwirrung ist gross. Hier mal die Übersicht:
Ungepatcht

$ env 'x=() { :;}; echo vulnerable' 'BASH_FUNC_x()=() { :;}; echo vulnerable' bash -c "echo test"
vulnerable
bash: BASH_FUNC_x(): line 0: syntax error near unexpected token `)'
bash: BASH_FUNC_x(): line 0: `BASH_FUNC_x() () { :;}; echo vulnerable'
bash: error importing function definition for `BASH_FUNC_x'
test

Mit dem 1.Patch (CVE-2014-6271):

Code: Alles auswählen

$ env 'x=() { :;}; echo vulnerable' 'BASH_FUNC_x()=() { :;}; echo vulnerable' bash -c "echo test"
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
bash: error importing function definition for `BASH_FUNC_x()'
test

Mit dem 2. Patch (CVE-2014-7186 CVE-2014-7187 CVE-2014-7169):

Code: Alles auswählen

$ env 'x=() { :;}; echo vulnerable' 'BASH_FUNC_x()=() { :;}; echo vulnerable' bash -c "echo test"
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `BASH_FUNC_x'
test

Der Patch aus CVE-2014-7169 sorgt auch dafür, das keine Datei mehr erzeugt werden kann:
Ungepatcht (nur 1. Patch):

Code: Alles auswählen

$ cd /tmp; rm -f /tmp/echo; env 'x=() { (a)=>\' bash -c "echo date"; cat /tmp/echo
bash: x: line 1: syntax error near unexpected token `='
bash: x: line 1: `'
bash: error importing function definition for `x'
Fri Sep 26 11:49:58 GMT 2014

Gepatcht (mit 2. Patch):

Code: Alles auswählen

$ cd /tmp; rm -f /tmp/echo; env 'x=() { (a)=>\' bash -c "echo date"; cat /tmp/echo
date
cat: /tmp/echo: No such file or directory

Gruss, habakug

edit:
Hier mal ein Proof of Concept, warum das so ein heisses Eisen ist:
https://www.trustedsec.com/september-20 ... f-concept/

ccc · Beitrag von **ccc** » 28.09.2014 12:20:25

Wir haben ca. 500 Squeeze Clients, die arbeiten aber nur mit einem normalen, non-root Benutzer.
Wie gross ist das Risiko, wenn wir gegen Shellshock nicht patchen?

dufty2 · Beitrag von **dufty2** » 28.09.2014 16:51:46

ccc hat geschrieben:Wir haben ca. 500 Squeeze Clients, die arbeiten aber nur mit einem normalen, non-root Benutzer.
Wie gross ist das Risiko, wenn wir gegen Shellshock nicht patchen?

100 %, daher immer patchen.

michaa7 · Beitrag von **michaa7** » 28.09.2014 17:03:07

... und es ist noch nicht zu ende, hier Teil 3:
http://www.heise.de/newsticker/meldung/ ... 04788.html

catdog2 · Beitrag von **catdog2** » 28.09.2014 17:05:53

Wir haben ca. 500 Squeeze Clients, die arbeiten aber nur mit einem normalen, non-root Benutzer.
Wie gross ist das Risiko, wenn wir gegen Shellshock nicht patchen?

Wenn ihr euch die Frage überhaupt Stellen müsst macht ihr was falsch.

NAB · Beitrag von **NAB** » 28.09.2014 17:42:41

ccc hat geschrieben:500 Squeeze Clients, die arbeiten aber nur mit einem normalen, non-root Benutzer.

Squeeze ohne UID 0? Ich habe Zweifel!

ccc · Beitrag von **ccc** » 29.09.2014 17:37:58

catdog2 hat geschrieben:
Wir haben ca. 500 Squeeze Clients, die arbeiten aber nur mit einem normalen, non-root Benutzer.
Wie gross ist das Risiko, wenn wir gegen Shellshock nicht patchen?
Wenn ihr euch die Frage überhaupt Stellen müsst macht ihr was falsch.

Wir haben mit einer Workstation getestet und nach

Code: Alles auswählen

 
# apt-get update
# apt-get dist-upgrade
# x='() { :;}; echo vulnerable' bash
vulnerable

ist dieser Bug immer noch nicht behoben.
Wo kann einen patch als .deb File downloaden?

dufty2 · Beitrag von **dufty2** » 29.09.2014 18:05:10

https://packages.debian.org/squeeze-lts/bash

Wie schaut denn Eure /etc/apt/sources.list aus?
Vermute mal, die zeigt noch auf "squeeze", aber nicht auf "squeeze-lts".

Ashlix · Beitrag von **Ashlix** » 30.09.2014 02:07:53

Ich steh etwas auf dem Schlauch, was die Updates betrifft. Mein Wheezy (stable) hat das letzte Mal am 22.09. (also vor 8 Tagen) neue Pakete erhalten. Von Updates im Zusammenhang von Shellshock keine Spur. PackageKit meint, das System sei auf dem aktuellst möglichen Stand (keine neuen Pakete verfügbar). Ebenso ist die Ausgabe von apt-get upgrade und apt-get dist-upgrade:

Code: Alles auswählen

0 aktualisiert, 0 neu installiert, 0 zu entfernen und 0 nicht aktualisiert.

Meine sources.list:

Code: Alles auswählen

deb http://security.debian.org/ wheezy/updates main contrib non-free
deb-src http://security.debian.org/ wheezy/updates main contrib non-free

deb http://ftp.debian.org/debian/ wheezy main contrib non-free
deb-src http://ftp.debian.org/debian/ wheezy main contrib non-free 

deb http://ftp.debian.org/debian/ wheezy-updates main contrib non-free
deb-src http://ftp.debian.org/debian/ wheezy-updates main contrib non-free

Sollte nicht schon längst über diesen Wegen ein Update verfügbar sein ?

dufty2 · Beitrag von **dufty2** » 30.09.2014 05:58:30

Ashlix hat geschrieben:Ebenso ist die Ausgabe von apt-get upgrade und apt-get dist-upgrade

Code: Alles auswählen

# apt-get update

Ashlix · Beitrag von **Ashlix** » 30.09.2014 09:32:54

dufty2 hat geschrieben:
Ashlix hat geschrieben:Ebenso ist die Ausgabe von apt-get upgrade und apt-get dist-upgrade
Code: Alles auswählen
# apt-get update

Danke

Ehm... ja. Ich setz das mal auf meine persönliche Todo-Liste: Mit Paketverwaltung genauer auseinandersetzen. Ich hab noch so einiges zu lernen

debianforum.de

bash korrumpierbar

Re: bash korrumpierbar

Re: bash korrumpierbar

Re: bash korrumpierbar

Re: bash korrumpierbar

Re: bash korrumpierbar

Re: bash korrumpierbar

Re: bash korrumpierbar

Re: bash korrumpierbar

Re: bash korrumpierbar

Re: bash korrumpierbar

Re: bash korrumpierbar