Nieuws:

Welkom, Gast. Alsjeblieft inloggen of registreren.
Heb je de activerings-mail niet ontvangen?

Auteur Topic: Linux kwetsbaar voor aanvallen van buitenaf  (gelezen 6959 keer)

Offline MKe

  • Lid
  • Steunpunt: Nee
Linux kwetsbaar voor aanvallen van buitenaf
« Gepost op: 2014/09/25, 06:36:50 »
Van RedHat, helaas in het engels:
https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environment-variables-code-injection-attack/
Citaat
Bash or the Bourne again shell, is a UNIX like shell, which is perhaps one of the most installed utilities on any Linux system. From its creation in 1980, bash has evolved from a simple terminal based command interpreter to many other fancy uses.

In Linux, environment variables provide a way to influence the behavior of software on the system. They typically consists of a name which has a value assigned to it. The same is true of the bash shell. It is common for a lot of programs to run bash shell in the background. It is often used to provide a shell to a remote user (via ssh, telnet, for example), provide a parser for CGI scripts (Apache, etc) or even provide limited command execution support (git, etc)

Coming back to the topic, the vulnerability arises from the fact that you can create environment variables with specially-crafted values before calling the bash shell. These variables can contain code, which gets executed as soon as the shell is invoked. The name of these crafted variables does not matter, only their contents. As a result, this vulnerability is exposed in many contexts, for example:

ForceCommand is used in sshd configs to provide limited command execution capabilities for remote users. This flaw can be used to bypass that and provide arbitrary command execution. Some Git and Subversion deployments use such restricted shells. Regular use of OpenSSH is not affected because users already have shell access.
Apache server using mod_cgi or mod_cgid are affected if CGI scripts are either written in bash, or spawn subshells. Such subshells are implicitly used by system/popen in C, by os.system/os.popen in Python, system/exec in PHP (when run in CGI mode), and open/system in Perl if a shell is used (which depends on the command string).
PHP scripts executed with mod_php are not affected even if they spawn subshells.
DHCP clients invoke shell scripts to configure the system, with values taken from a potentially malicious server. This would allow arbitrary commands to be run, typically as root, on the DHCP client machine.
Various daemons and SUID/privileged programs may execute shell scripts with environment variable values set / influenced by the user, which would allow for arbitrary commands to be run.
Any other application which is hooked onto a shell or runs a shell script as using bash as the interpreter. Shell scripts which do not export variables are not vulnerable to this issue, even if they process untrusted content and store it in (unexported) shell variables and open subshells.

RedHat heeft al een patch, dus waarschijnlijk zullen andere distro's volgen.
« Laatst bewerkt op: 2014/09/25, 06:40:24 door MKe »
Mijn blokkendoos blog: http://mke21.wordpress.com/

Offline Frederik

  • Lid
    • Vriescheloo
  • Steunpunt: Ja
Xubuntu 16.04.1 LTS
Wees wie je bent. Hou van wie je wilt.

Offline Johan van Dijk

  • Administrator
    • johanvandijk
  • Steunpunt: Nee
Re: Linux kwetsbaar voor aanvallen van buitenaf
« Reactie #2 Gepost op: 2014/09/25, 08:24:01 »
Ik kreeg gisteren al de update hiervoor op Ubuntu 12.04 en 14.04

Online jvecht

  • Lid
    • Just Vecht
  • Steunpunt: Ja
Re: Linux kwetsbaar voor aanvallen van buitenaf
« Reactie #3 Gepost op: 2014/09/25, 08:32:14 »
Ik kreeg gisteren al de update hiervoor op Ubuntu 12.04 en 14.04

Dat is flitsend snel, zeg! Goede zaak.
GIMP bundel 2017  25 cursussen met geweldig mooi oefenmateriaal. Lekker lezen of er wat van opsteken!
  Boekje "Werken met Xubuntu" 4000+ downloads!
     Het Helpmij Magazine April 2018

Offline Johan van Dijk

  • Administrator
    • johanvandijk
  • Steunpunt: Nee
Re: Linux kwetsbaar voor aanvallen van buitenaf
« Reactie #4 Gepost op: 2014/09/25, 08:55:22 »
Als je sneller op de hoogte wil blijven dan dat je moet wachten tot een journalist een stukje schrijft kan je deze pagina in de gaten houden. Er zijn ook RSS feeds en je kan je abonneren via e-mailberichten :)

Tweakers heeft ook een artikel: http://tweakers.net/nieuws/98664/bash-kwetsbaarheid-laat-aanvaller-code-uitvoeren-op-linux-en-os-x.html

En een mirror van de blog (ligt er momenteel uit): http://web.archive.org/web/20140925035842/https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environment-variables-code-injection-attack/

Online jvecht

  • Lid
    • Just Vecht
  • Steunpunt: Ja
Re: Linux kwetsbaar voor aanvallen van buitenaf
« Reactie #5 Gepost op: 2014/09/25, 09:04:04 »
Dank je wel, Johan!

Ik heb daar even rondgesnuffeld. Er is veel meer gaande dan ik gedacht had. Goed om eens te zien.
GIMP bundel 2017  25 cursussen met geweldig mooi oefenmateriaal. Lekker lezen of er wat van opsteken!
  Boekje "Werken met Xubuntu" 4000+ downloads!
     Het Helpmij Magazine April 2018

Offline MKe

  • Lid
  • Steunpunt: Nee
Re: Linux kwetsbaar voor aanvallen van buitenaf
« Reactie #6 Gepost op: 2014/09/25, 12:42:20 »
Ah, bedankt, Kubuntu 12.04 is ook okay hier.

Offline Paul Matthijsse

  • Lid
  • Steunpunt: Nee
Re: Linux kwetsbaar voor aanvallen van buitenaf
« Reactie #7 Gepost op: 2014/09/25, 13:59:51 »
Xubuntu 13.10 is 'vulnerable'.
https://allesgimpofbijna.wordpress.com - GIMP en omstreken
https://paulsphotopalace.wordpress.com (Engelstalig) - Raw, RawTherapee, G'MIC, GIMP...

Online Nero

  • Lid
  • Steunpunt: Ja
Re: Linux kwetsbaar voor aanvallen van buitenaf
« Reactie #8 Gepost op: 2014/09/25, 14:13:13 »
Debian Jessie is ook vulnerable :(

Offline Vistaus

  • Webteam
    • vistaus
  • Steunpunt: Nee
Re: Linux kwetsbaar voor aanvallen van buitenaf
« Reactie #9 Gepost op: 2014/09/25, 14:15:40 »
Antergos had de update onlangs ook al :)

Offline Vistaus

  • Webteam
    • vistaus
  • Steunpunt: Nee
Re: Linux kwetsbaar voor aanvallen van buitenaf
« Reactie #10 Gepost op: 2014/09/25, 14:17:08 »
Xubuntu 13.10 is 'vulnerable'.

En die zal ook 'vulnerable' blijven want die wordt al sinds juli niet meer ondersteund...

Offline MKe

  • Lid
  • Steunpunt: Nee
Re: Linux kwetsbaar voor aanvallen van buitenaf
« Reactie #11 Gepost op: 2014/09/25, 18:48:38 »
De bugfix is nog steeds niet voldoende.  We moeten nog wachten op een nieuwe patch.

https://access.redhat.com/articles/1200223

Offline soppel

  • Lid
  • Steunpunt: Nee
Re: Linux kwetsbaar voor aanvallen van buitenaf
« Reactie #12 Gepost op: 2014/09/25, 18:56:01 »
Citaat
Debian Jessie is ook vulnerable :(

Volgens mij krijgt die ook geen security updates ( of ik moet 't verkeerd begrijpen )

https://www.debian.org/releases/testing/
Gooi je windows uit het raam
en je virusscanner d'r achteraan

Offline testcees

  • Documentatieteam
    • testcees
    • www.testcees.nl
  • Steunpunt: Nee
Re: Linux kwetsbaar voor aanvallen van buitenaf
« Reactie #13 Gepost op: 2014/09/25, 20:43:37 »
Citaat
Debian Jessie is ook vulnerable :(

Volgens mij krijgt die ook geen security updates ( of ik moet 't verkeerd begrijpen )
Dat staat er niet, alleen minder snel:
testing krijgt niet snel beveiligingsupdates. We raden u aan om voor nu uw sources.list-regels te veranderen van testing naar wheezy als u beveilingsupdates nodig heeft.

C:\>env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
'env' is not recognized as an internal or external command,
operable program or batch file.
Windows 8.1 is veilig.  :P
« Laatst bewerkt op: 2014/09/25, 21:03:16 door testcees »

Offline Bloom

  • Lid
  • Steunpunt: Ja
Re: Linux kwetsbaar voor aanvallen van buitenaf
« Reactie #14 Gepost op: 2014/09/25, 21:22:44 »
Debian Wheezy:

env x='() { :;}; echo kwetsbaar' bash -c "echo dit is een test"
levert dit op:

bash: waarschuwing: x: ignoring function definition attempt
bash: fout tijdens importeren van functiedefinitie voor 'x'
dit is een test

Bijgevolg is Wheezy niet (meer) kwetsbaar voor dit probleem.
Vraagje: hoe zou dit misbruikt moeten worden? Ik zie echt niet in hoe je vanaf het internet zo'n environment variabele met functiedefinitie kunt inplanten in een Linux/Unix/MacOSX-systeem.


Offline testcees

  • Documentatieteam
    • testcees
    • www.testcees.nl
  • Steunpunt: Nee
Re: Linux kwetsbaar voor aanvallen van buitenaf
« Reactie #15 Gepost op: 2014/09/25, 21:39:27 »
Vraagje: hoe zou dit misbruikt moeten worden? Ik zie echt niet in hoe je vanaf het internet zo'n environment variabele met functiedefinitie kunt inplanten in een Linux/Unix/MacOSX-systeem.
Linux wordt (meer dan) soms gebruikt voor een webserver met cgi of php toepassingen.  :P
Should I panic?
The vulnerability looks pretty awful at first glance, but most systems with Bash installed will NOT be remotely exploitable as a result of this issue.

Offline Bloom

  • Lid
  • Steunpunt: Ja
Re: Linux kwetsbaar voor aanvallen van buitenaf
« Reactie #16 Gepost op: 2014/09/25, 21:43:38 »
Cgi en php zouden NOOIT met rootrechten mogen draaien, want dan zou je zelfs malware kunnen inplanten.
Een behoorlijk geconfigureerde webserver draait met zijn eigen user of - in de meest veilige setup - compleet ge-chroot.
In die gevallen zou je er weinig aan hebben environment variables met functiedefinities te laten uitvoeren in die setups.
Maar met de fixes voor bash die de afgelopen dag(en) voor zowat alle Linux distributies verschenen zijn, is dat dus in elk geval soweiso voltooid verleden tijd.

Offline testcees

  • Documentatieteam
    • testcees
    • www.testcees.nl
  • Steunpunt: Nee
Re: Linux kwetsbaar voor aanvallen van buitenaf
« Reactie #17 Gepost op: 2014/09/25, 21:55:54 »
Cgi en php zouden NOOIT met rootrechten mogen draaien, want dan zou je zelfs malware kunnen inplanten.
Rootrechten zijn niet nodig om een programma uit te voeren. Een ongewenst programma (aka malware) kan ook onder het account van de webserver (www-data ofzo) draaien. :evil:

Offline MKe

  • Lid
  • Steunpunt: Nee
Re: Linux kwetsbaar voor aanvallen van buitenaf
« Reactie #18 Gepost op: 2014/09/25, 22:31:38 »
Cgi en php zouden NOOIT met rootrechten mogen draaien, want dan zou je zelfs malware kunnen inplanten.
Een behoorlijk geconfigureerde webserver draait met zijn eigen user of - in de meest veilige setup - compleet ge-chroot.
In die gevallen zou je er weinig aan hebben environment variables met functiedefinities te laten uitvoeren in die setups.
Maar met de fixes voor bash die de afgelopen dag(en) voor zowat alle Linux distributies verschenen zijn, is dat dus in elk geval soweiso voltooid verleden tijd.
Blijkbaar niet dus. De fix is nu nog onvoldoende. RedHat werkt aan een meer complete fix, maar die is er nog niet.

Offline Vistaus

  • Webteam
    • vistaus
  • Steunpunt: Nee
Re: Linux kwetsbaar voor aanvallen van buitenaf
« Reactie #19 Gepost op: 2014/09/26, 01:36:09 »
Op mijn smartphone trouwens ook al de Bash-update gehad vandaag. Hetzij als onofficiële update maar de volgende upgrade (van SailfishOS 1.0.18 naar 1.0.9) komt al spoedig en heeft de fix als officiële update aan boord.

Offline Joris Donders

  • Lid
  • Steunpunt: Ja
Re: Linux kwetsbaar voor aanvallen van buitenaf
« Reactie #20 Gepost op: 2014/09/26, 08:20:08 »
http://www.demorgen.be/dm/nl/5401/Multimedia/article/detail/2063453/2014/09/25/Hackers-kunnen-uw-computer-overnemen-door-angstaanjagend-Shellshock-lek-dit-moet-u-weten.dhtml

nog wat leesvoer. Red Hat is nog momenteel aan een patch aan het werken die het lek moet dichten.

Vandaag echter terug een Bash-update gekregen van ongeveer 645Kb groot. Of het dan al voldoende is, is nog af te wachten.
Gubuntu 17.04 wegens verdwijnen Unity binnenkort


Offline Ramana

  • Lid
  • Steunpunt: Nee
Re: Linux kwetsbaar voor aanvallen van buitenaf
« Reactie #22 Gepost op: 2014/09/26, 08:48:01 »
Gisteren dat testje gedaan, systeem was niet veilig. Na een upgrade lijkt het systeem wel weer veilig.
(weet alleen niet of dit een afdoende test is).

Offline Vistaus

  • Webteam
    • vistaus
  • Steunpunt: Nee
Re: Linux kwetsbaar voor aanvallen van buitenaf
« Reactie #23 Gepost op: 2014/09/26, 11:46:48 »
Benieuwd waarom de Volkskrant alleen dingen als routers e.d. noemt en geen smartphones... nu.nl deed dat in ieder geval wel en terecht.

Offline VuurVosje

  • Lid
  • Steunpunt: Nee
Re: Linux kwetsbaar voor aanvallen van buitenaf
« Reactie #24 Gepost op: 2014/09/26, 11:51:10 »
Tweede patch:
http://tweakers.net/nieuws/98693/nieuwe-patch-voor-bash-bug-beschikbaar.html

Vanochtend binnengekregen via de normale updates.


Wel even opletten met te snel op 'Yes' drukken; mogelijk zijn sommige mirrors besmet.
http://tweakers.net/nieuws/98693/nieuwe-patch-voor-bash-bug-beschikbaar.html?showReaction=7215041#r_7215041
« Laatst bewerkt op: 2014/09/26, 13:06:14 door VuurVosje »