Shellshock

25/09/2014 - 22:56 von Andreas Kohlbach | Report spam
Da ist (oder war) ein Bug, der auf
<http://web.nvd.nist.gov/view/vuln/d...4-6271> wie folgt
beschrieben wird:

| GNU Bash through 4.3 processes trailing strings after function
| definitions in the values of environment variables, which allows remote
| attackers to execute arbitrary code via a crafted environment, as
| demonstrated by vectors involving the ForceCommand feature in OpenSSH
| sshd, the mod_cgi and mod_cgid modules in the Apache HTTP Server,
| scripts executed by unspecified DHCP clients, and other situations in
| which setting the environment occurs across a privilege boundary from
| Bash execution.

So könnten also Webserver, die CGI-Skripte ausführen, angreifbar sein.

Zum Testen, ob man verwundbar ist, kann man

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

ausführen.

Was mich allerdings wundert ist, dass es "Ewigkeiten" dauerte, bis es auf
Debian Testing (müsste gerade Jessie sein) hier eben der Fix kam, wàhrend
Bekannte auf SuSE, Redhat/Fedora und gar Debian Wheezy schon vor Stunden
berichteten, dass der Fix kam.

X'post de.comp.os.unix.shell, de.comp.os.unix.linux.misc,
de.comm.software.webserver
F'up de.comp.os.unix.linux.misc
Andreas

I wish my grass was emo. Then it would cut itself.
 

Lesen sie die antworten

#1 Florian Diesch
26/09/2014 - 05:14 | Warnen spam
Am Thu, 25 Sep 2014 16:56:30 -0400
schrieb Andreas Kohlbach :


Zum Testen, ob man verwundbar ist, kann man

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

ausführen.



Weil's so schön ist, gibt es da noch einen Bug, auf den man so
testen kann:

rm -f echo; env -i X='() { (a)=>\' bash -c 'echo date'; cat echo


Richtige Ausgabe ist sowas wie

bash: X: line 1: syntax error near unexpected token `='
bash: X: line 1: `'
bash: error importing function definition for `X'
date
cat: echo: No such file or directory

Fehlerhaft ist sowas wie

bash: X: line 1: syntax error near unexpected token `='
bash: X: line 1: `'
bash: error importing function definition for `X'
Fri Sep 26 02:46:57 GMT 2014

In diesem Fall wurde auch eine Datei "echo" im aktuellen Verzeichnis
angelegt.

Eine Übersicht über die Verfügbarkeit von Fixes bei den wichtigsten
Distributionen gibt es z.B. unter
http://www.reddit.com/r/linux/comme...le/cksjfng

GtkFalse - a GUI version of /bin/false.
http://www.florian-diesch.de/software/gtkfalse/

Ähnliche fragen