Linux kwetsbaar voor aanvallen van buitenaf

[Michiel]

Ik heb Ziggo, maar deel mijn verbinding niet.
Maar nu komt het volgende: heb net nog even een bash binnengehaald op Mint-Lenovo hier.
Denk draai even het testje en tot mijn enorme verbazing krijg ik opeens weer als resultaat:
this is a test

Btw. bij moeders krijg ik als resultaat:
vulnerable
this is a test

dubbel que?
en wederom anybody?

Ps.
kom zo terug met resultaat op deze Lubuntu

[Pjotr]

Als volgt kun je uitvoerig uitproberen hoe 't bij jou zit:
http://www.zdnet.com/shellshock-better-bash-patches-now-available-7000034115/

Maar het grootste gevaar zit ´m niet in bureaucomputers/flaptops/mobieltjes. Wel bloedlink zijn: servers, wifispots, "slimme" thermostaten etc.

[Michiel]

wiw: nu ook is deze Lubuntu weer vulnerable, resultaat is:
[lege regel] ?
this is a test

3 verschillende resultaten, 2maal van safe naar unsafe: apart allemaal...

@Pjotr: Ik pak nu jouw reply even op.

[Michiel]

aanvulling:
uiteraard weet ik dat ik niets hoef te vrezen met mijn flapper, doe sowieso nooit "rare" dingen, moeders al helemaal niet
Maar het moet gewoon kloppen, moet safe zijn.
Houtje_touwtje_fixes, workarounds, etc.. zijn voorbehouden aan m $ (<-- flauwe mod hoor ......)
Linux instelling voelt als: I will not rest until...
En zo sta ik er ook helemaal in

[Michiel]

Ahaaa, tnx Pjotr

Ik testte elke keer met:

Code: [Selecteer]

env x='() { :;}; echo vulnerable' bash -c "echo this is a test" Uit de (1ste) post van Femke in dit topic.
Jouw link geeft een andere test:

Code: [Selecteer]

env 'x=() { :;}; echo vulnerable' 'BASH_FUNC_x()=() { :;}; echo vulnerable' bash -c "echo test"Nu is dit de outcome:

Code: [Selecteer]

bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `BASH_FUNC_x'
testOp alledrie machientjes
Ook nog even dit testje gedraaid:

Code: [Selecteer]

cd /tmp; rm -f /tmp/echo; env 'x=() { (a)=>\' bash -c "echo date"; cat /tmp/echoOutcome:

Code: [Selecteer]

date
cat: /tmp/echo: No such file or directoryWederom

[midas]

Nee, maar het gaat inderdaad om de hele keten. Van provider naar router naar computer en alle apparatuur dat verder aan het thuisnetwerk 'hangt'. Veel apparatuur werkt op embedded linux en soms krijgen ze helemaal geen updates.. Maar in ieder geval blij dat op OS-niveau de gaten snel zijn gedicht.

[VuurVosje]

Pjotr bedoelt waarschijnlijk in de eerste plaats de Wifi-Hotspots; mensen die hun UPC/KPN/Ziggo wifi-router open hebben staan voor anderen.
(en dus zelf ook gebruik maken vd wifi-hotspots van anderen, tegenwoordig staat dit geloof ik default AAN ??!!)
Dit kun je makkelijk uitzetten.
(bovendien is het qua veiligheid sowieso niet zo slim om van openbare hotspots gebruik te maken, en ook niet meer nodig in een tijd van 3G/4G...  )

En als je wifi uitzet, kan je niet meer computeren. 

Als je alleen een lap of tablet hebt, dan ben je dus het haasje?
Nou, het zal niet zo'n vaart lopen denk ik.

[Pjotr]

Pjotr bedoelt waarschijnlijk de Wifi-Hotspots; mensen die hun UPC/KPN/Ziggo wifi-router open hebben staan voor anderen.
(en dus zelf ook gebruik maken vd wifi-hotspots van anderen)
Dit kun je makkelijk uitzetten.

Precies.

[Vistaus]

Dit:
http://www.upc.nl/internet/wifispots/

Ik weet niet of uitschakeling voldoende effect heeft. Maar het lijkt me wel een extra drempel voor Shellshock-aanvallers.... Het is in elk geval iets wat we makkelijk zelf kunnen doen.

Oh zo, een soort FON dus. Dat hebben we bij Solcon niet, dus deze tip kan ik overslaan. Maar toch bedankt voor het delen van de tip, zal hem zeker aanraden bij mensen met KPN en UPC

[Vistaus]

En als je wifi uitzet, kan je niet meer computeren. 

Als je alleen een lap of tablet hebt, dan ben je dus het haasje?
Nou, het zal niet zo'n vaart lopen denk ik.

Je kunt een USB-adapter kopen met ethernet-ingang, zodat je bekabelt kunt internetten op je ultrabook/hybrid/(tablet met normale USB-poort)
Maar inderdaad bedoelde Pjotr wat VuurVosje omschrijft.

[IHC1000]

Op tweakers staat dat de bug waarschijnlijk sinds 1992 bestaat.
In de tussentijd heb ik er niet veel van gemerkt.
Het zou er ook op kunnen duiden dat linux hinderlijk wordt voor sommige partijen.
De vraag blijft dan wel zijn die andere partijen veiliger?

[testcees]

Dit:
http://www.upc.nl/internet/wifispots/

Ik weet niet of uitschakeling voldoende effect heeft. Maar het lijkt me wel een extra drempel voor Shellshock-aanvallers.... Het is in elk geval iets wat we makkelijk zelf kunnen doen.

Is er een aanwijzing dat die wifi-hotspots kwetsbaar zijn voor de shellshock bug? Heeft uitschakelen überhaupt effect in relatie tot deze bug?

Door het uit te schakelen kan ons gezin er onderweg geen gebruik meer van maken, uitschakelen heeft dus ook een nadelig effect. Het gebruik van een wifi-hotspot van de kabelprovider is in de regel veiliger dan een willekeurig “normaal” openbaar of gezamenlijk wifipunt.

Bovendien is het bereik van mijn wifi-hotspot is slechts enkele tientallen meters. Een eventuele "aanvaller" moet dus wel heel dicht in de buurt zijn (zie op dit moment geen verdachte personen rond het huis ).

[Pjotr]

Dit:
http://www.upc.nl/internet/wifispots/

Ik weet niet of uitschakeling voldoende effect heeft. Maar het lijkt me wel een extra drempel voor Shellshock-aanvallers.... Het is in elk geval iets wat we makkelijk zelf kunnen doen.

Is er een aanwijzing dat die wifi-hotspots kwetsbaar zijn voor de shellshock bug? Heeft uitschakelen überhaupt effect in relatie tot deze bug?

Door het uit te schakelen kan ons gezin er onderweg geen gebruik meer van maken, uitschakelen heeft dus ook een nadelig effect. Het gebruik van een wifi-hotspot van de kabelprovider is in de regel veiliger dan een willekeurig “normaal” openbaar of gezamenlijk wifipunt.

Bovendien is het bereik van mijn wifi-hotspot is slechts enkele tientallen meters. Een eventuele "aanvaller" moet dus wel heel dicht in de buurt zijn (zie op dit moment geen verdachte personen rond het huis ).

Zoals gezegd: daar ben ik niet zeker van. In elk geval: door uitschakeling van Wifispots sluit je uit, dat een onbekende derde makkelijk toegang heeft tot je router.

Gezien de beperkte reikwijdte van particuliere draadloze netwerken zal het risico niet zo heel groot zijn (of je moet een vervelende buurjongen hebben). Of je dat risico wil nemen, is aan jou. Ik in elk geval niet.

[Vistaus]

Ik heb Ubuntu nog niet gecheckt, maar op Antergos weeral een Bash-beveiligingsupdate in de testingrepo:

Code: [Selecteer]

==> Software upgrade (new version) :
testing/bash 4.3.026-1 -> 4.3.027-1

==> Continue upgrade ? [Y/n]
==> [V]iew package detail   [M]anually select packages

[Ron]

Gezien de beperkte reikwijdte van particuliere draadloze netwerken zal het risico niet zo heel groot zijn (of je moet een vervelende buurjongen hebben).

Er is natuurlijk een groot verschil, of jouw router op de 12e verdieping staat, ergens in een grote stad, of dat je op het platte land woont

[VuurVosje]

Risico = Kans x Effect
 

[Nero]

Inmiddels in Debian Jessie gepatched.

[testcees]

Op tweakers staat dat de bug waarschijnlijk sinds 1992 bestaat.
In de tussentijd heb ik er niet veel van gemerkt.
Het zou er ook op kunnen duiden dat linux hinderlijk wordt voor sommige partijen.
De vraag blijft dan wel zijn die andere partijen veiliger?

In (actieve) GNU/Linux projecten worden bug’s, waar je iets van merkt, vroeg of laat gemeld en (soms snel, soms niet) hersteld (of kan je soms zelf herstellen ).

Securitybugs als deze ontstaan vaak doordat software op een creatieve manier wordt gebruikt zoals het niet is bedoeld. Dat valt soms niet direct op, alles werkt goed.

Bij gesloten software kan de producent bugs oplossen en rekening houden met onwenselijk gebruik (en heeft hiervoor budget bij winstgevende software).

De vraag is hoe goed (creatieve en eerlijke) mensen de (open of gesloten) software nakijken, niet of het optimaal werkt maar om te onderzoeken wat oneigenlijke gebruik of invoer kan veroorzaken.

Many eyes theory conclusively disproven

[bwman]

Ik krijg dit op mijn mint 17 alle update s zijn binnen en toch ben ik niet "veilig"

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
this is a test

waar zou dit aan kunnen liggen? alle veiligheidsupdate s zijn aan gevinkt heb de aller nieuwste kernel dus ik mis iets maar weet niet wat.

[Bloom]

Hoe kom je erbij dat je niet veilig zou zijn?
Als het woord "vulnerable" boven "this is a test" verschijnt, dan ben je niet veilig.
Als dat woord ontbreekt is dat stuk code dus niet uitgevoerd en dat betekent dat je dan veilig bent!

[Michiel]

Ik krijg dit op mijn mint 17 alle update s zijn binnen en toch ben ik niet "veilig"

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
this is a test

waar zou dit aan kunnen liggen? alle veiligheidsupdate s zijn aan gevinkt heb de aller nieuwste kernel dus ik mis iets maar weet niet wat.

zie mijn post: http://forum.ubuntu-nl.org/index.php?topic=86167.msg926934#msg926934
net iets ander testje, fijnere outcome

[Joris Donders]

@bwman: lees DIT even goed door

[Paul Matthijsse]

Mogelijk mijn fout: dat Xubuntu 14.10 vulnerabel is, maakte ik op uit een live-versie. Ik ging er vanuit dat de laatste patches ook in een daily build terechtkomen, maar misschien is dit niet het geval.

Update per 29 september: de daily build van Xubuntu 14.10 is nu wel gepatcht.

[Vistaus]

Xubuntu daily gepatched of niet, het daadwerkelijke aanvalsmogelijkheid-probleem is nog lang niet verholpen: http://beta.slashdot.org/story/207825

[bwman]

Ok bedankt dan heb ik het verkeerd begrepen en gelezen