Linux kwetsbaar voor aanvallen van buitenaf

[MKe]

Van RedHat, helaas in het engels:
https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environment-variables-code-injection-attack/

Bash or the Bourne again shell, is a UNIX like shell, which is perhaps one of the most installed utilities on any Linux system. From its creation in 1980, bash has evolved from a simple terminal based command interpreter to many other fancy uses.

In Linux, environment variables provide a way to influence the behavior of software on the system. They typically consists of a name which has a value assigned to it. The same is true of the bash shell. It is common for a lot of programs to run bash shell in the background. It is often used to provide a shell to a remote user (via ssh, telnet, for example), provide a parser for CGI scripts (Apache, etc) or even provide limited command execution support (git, etc)

Coming back to the topic, the vulnerability arises from the fact that you can create environment variables with specially-crafted values before calling the bash shell. These variables can contain code, which gets executed as soon as the shell is invoked. The name of these crafted variables does not matter, only their contents. As a result, this vulnerability is exposed in many contexts, for example:

ForceCommand is used in sshd configs to provide limited command execution capabilities for remote users. This flaw can be used to bypass that and provide arbitrary command execution. Some Git and Subversion deployments use such restricted shells. Regular use of OpenSSH is not affected because users already have shell access.
Apache server using mod_cgi or mod_cgid are affected if CGI scripts are either written in bash, or spawn subshells. Such subshells are implicitly used by system/popen in C, by os.system/os.popen in Python, system/exec in PHP (when run in CGI mode), and open/system in Perl if a shell is used (which depends on the command string).
PHP scripts executed with mod_php are not affected even if they spawn subshells.
DHCP clients invoke shell scripts to configure the system, with values taken from a potentially malicious server. This would allow arbitrary commands to be run, typically as root, on the DHCP client machine.
Various daemons and SUID/privileged programs may execute shell scripts with environment variable values set / influenced by the user, which would allow for arbitrary commands to be run.
Any other application which is hooked onto a shell or runs a shell script as using bash as the interpreter. Shell scripts which do not export variables are not vulnerable to this issue, even if they process untrusted content and store it in (unexported) shell variables and open subshells.

RedHat heeft al een patch, dus waarschijnlijk zullen andere distro's volgen.

[Frederik]

Voor de Nederlandse lezers:
http://www.nu.nl/internet/3886676/os-x-en-linux-kwetsbaar-grote-bug-in-software.html

[Johan van Dijk]

Ik kreeg gisteren al de update hiervoor op Ubuntu 12.04 en 14.04

[jvecht]

Ik kreeg gisteren al de update hiervoor op Ubuntu 12.04 en 14.04

Dat is flitsend snel, zeg! Goede zaak.

[Johan van Dijk]

Als je sneller op de hoogte wil blijven dan dat je moet wachten tot een journalist een stukje schrijft kan je deze pagina in de gaten houden. Er zijn ook RSS feeds en je kan je abonneren via e-mailberichten

Tweakers heeft ook een artikel: http://tweakers.net/nieuws/98664/bash-kwetsbaarheid-laat-aanvaller-code-uitvoeren-op-linux-en-os-x.html

En een mirror van de blog (ligt er momenteel uit): http://web.archive.org/web/20140925035842/https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environment-variables-code-injection-attack/

[jvecht]

Dank je wel, Johan!

Ik heb daar even rondgesnuffeld. Er is veel meer gaande dan ik gedacht had. Goed om eens te zien.

[MKe]

Ah, bedankt, Kubuntu 12.04 is ook okay hier.

[Paul Matthijsse]

Xubuntu 13.10 is 'vulnerable'.

[Nero]

Debian Jessie is ook vulnerable

[Vistaus]

Antergos had de update onlangs ook al

[Vistaus]

Xubuntu 13.10 is 'vulnerable'.

En die zal ook 'vulnerable' blijven want die wordt al sinds juli niet meer ondersteund...

[MKe]

De bugfix is nog steeds niet voldoende.  We moeten nog wachten op een nieuwe patch.

https://access.redhat.com/articles/1200223

[soppel]

Debian Jessie is ook vulnerable

Volgens mij krijgt die ook geen security updates ( of ik moet 't verkeerd begrijpen )

https://www.debian.org/releases/testing/

[testcees]

Debian Jessie is ook vulnerable

Volgens mij krijgt die ook geen security updates ( of ik moet 't verkeerd begrijpen )

Dat staat er niet, alleen minder snel:

testing krijgt niet snel beveiligingsupdates. We raden u aan om voor nu uw sources.list-regels te veranderen van testing naar wheezy als u beveilingsupdates nodig heeft.

Code: [Selecteer]

C:\>env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
'env' is not recognized as an internal or external command,
operable program or batch file.
Windows 8.1 is veilig. 

[Bloom]

Debian Wheezy:

Code: [Selecteer]

env x='() { :;}; echo kwetsbaar' bash -c "echo dit is een test"
levert dit op:

bash: waarschuwing: x: ignoring function definition attempt
bash: fout tijdens importeren van functiedefinitie voor 'x'
dit is een test

Bijgevolg is Wheezy niet (meer) kwetsbaar voor dit probleem.
Vraagje: hoe zou dit misbruikt moeten worden? Ik zie echt niet in hoe je vanaf het internet zo'n environment variabele met functiedefinitie kunt inplanten in een Linux/Unix/MacOSX-systeem.

[testcees]

Vraagje: hoe zou dit misbruikt moeten worden? Ik zie echt niet in hoe je vanaf het internet zo'n environment variabele met functiedefinitie kunt inplanten in een Linux/Unix/MacOSX-systeem.

Linux wordt (meer dan) soms gebruikt voor een webserver met cgi of php toepassingen. 

Should I panic?
The vulnerability looks pretty awful at first glance, but most systems with Bash installed will NOT be remotely exploitable as a result of this issue.

[Bloom]

Cgi en php zouden NOOIT met rootrechten mogen draaien, want dan zou je zelfs malware kunnen inplanten.
Een behoorlijk geconfigureerde webserver draait met zijn eigen user of - in de meest veilige setup - compleet ge-chroot.
In die gevallen zou je er weinig aan hebben environment variables met functiedefinities te laten uitvoeren in die setups.
Maar met de fixes voor bash die de afgelopen dag(en) voor zowat alle Linux distributies verschenen zijn, is dat dus in elk geval soweiso voltooid verleden tijd.

[testcees]

Cgi en php zouden NOOIT met rootrechten mogen draaien, want dan zou je zelfs malware kunnen inplanten.

Rootrechten zijn niet nodig om een programma uit te voeren. Een ongewenst programma (aka malware) kan ook onder het account van de webserver (www-data ofzo) draaien.

[MKe]

Cgi en php zouden NOOIT met rootrechten mogen draaien, want dan zou je zelfs malware kunnen inplanten.
Een behoorlijk geconfigureerde webserver draait met zijn eigen user of - in de meest veilige setup - compleet ge-chroot.
In die gevallen zou je er weinig aan hebben environment variables met functiedefinities te laten uitvoeren in die setups.
Maar met de fixes voor bash die de afgelopen dag(en) voor zowat alle Linux distributies verschenen zijn, is dat dus in elk geval soweiso voltooid verleden tijd.

Blijkbaar niet dus. De fix is nu nog onvoldoende. RedHat werkt aan een meer complete fix, maar die is er nog niet.

[Vistaus]

Op mijn smartphone trouwens ook al de Bash-update gehad vandaag. Hetzij als onofficiële update maar de volgende upgrade (van SailfishOS 1.0.18 naar 1.0.9) komt al spoedig en heeft de fix als officiële update aan boord.

[Joris Donders]

http://www.demorgen.be/dm/nl/5401/Multimedia/article/detail/2063453/2014/09/25/Hackers-kunnen-uw-computer-overnemen-door-angstaanjagend-Shellshock-lek-dit-moet-u-weten.dhtml

nog wat leesvoer. Red Hat is nog momenteel aan een patch aan het werken die het lek moet dichten.

Vandaag echter terug een Bash-update gekregen van ongeveer 645Kb groot. Of het dan al voldoende is, is nog af te wachten.

[Paul Matthijsse]

De Volkskrant van vanmorgen:
http://www.volkskrant.nl/vk/nl/2694/Tech-Media/article/detail/3755273/2014/09/25/Nieuw-digitaal-lek-Gevolgen-groter-dan-bij-Heartbleed.dhtml

[Ramana]

Gisteren dat testje gedaan, systeem was niet veilig. Na een upgrade lijkt het systeem wel weer veilig.
(weet alleen niet of dit een afdoende test is).

[Vistaus]

Benieuwd waarom de Volkskrant alleen dingen als routers e.d. noemt en geen smartphones... nu.nl deed dat in ieder geval wel en terecht.

[VuurVosje]

Tweede patch:
http://tweakers.net/nieuws/98693/nieuwe-patch-voor-bash-bug-beschikbaar.html

Vanochtend binnengekregen via de normale updates.


Wel even opletten met te snel op 'Yes' drukken; mogelijk zijn sommige mirrors besmet.
http://tweakers.net/nieuws/98693/nieuwe-patch-voor-bash-bug-beschikbaar.html?showReaction=7215041#r_7215041