Alvorlig sikkerhedsfejl i Bash rammer i omegnen af 500 mill computere / servere

For nogle måneder sider ramte fejlen heartbleed openSLL og gav store sikkerhedsproblemer for mange *nix baserede servere.

Nu er så en anden og formodentlig langt alvorligere fejl kommet for dagens lys, den såkaldte Shellshock vulnerability der rammer Bash helt tilbage fra version 1.14 og indtil version 4.3.

Fejlen er alvorligere dels fordi den giver mulighed for på en temmelig let måde at udføre vilkårlig kode på de sårbare maskiner, hvor Heartbleed "blot" gjorde det muligt at fiske fx kodeord frem (hvis man var heldig); og dels fordi i princippet alt fra store servere, til hjemme-pc'ere med Mac og Linux og til routere og internetforbundne elpærer er i fare. Mange enheder kører jo Linux, og det er ikke ualmindeligt at der følger en verison af Bash med som bruges af udviklerne. Hvad værre er, mange af den slags enheder, fx mange routere, kan ikke firmwareopdateres og derfor slet ikke fixes.

Sårbarheden går ud på at smide noget kode i en miljøvariablel (environment variable) som Bash så vil udføre efter at have udført en anden og ganske harmløs kommando. Og denne miljøvariabel kan fx sættes i en HTTP request til Apache som så sender kommandoen videre til Bash. På samme måde kan der sendes kommandoer til serveren via malformede FTP-request mv.

Hvis en af disse kommandoer giver outputtet "Busted" er man i princippet i fare:

env X="() { :;} ; echo busted" /bin/sh -c "echo completed"
env X="() { :;} ; echo busted" `which bash` -c "echo completed"

Det er dog ikke sikkert at Apache er sat op så den sender det ondsindede indhold videre. Dette kan man teste med dette værktøj: http://milankragujevic.com/projects/shellshock/

Jeg har prøvet på nogle servere (fx min Raspberry Pi) med en sårbar Bash, og disse var ikke sårbare via HTTP.

Dette er en yderst alvorlig fejl som vi skal følge nøje de kommende dage og uger.

Kilde: Troyhunt og diverse googlerier

EDIT: Her er et grundigere værktøj: https://shellshock.detectify.com/

OracleJMT
OracleJMT's picture
Antal: 207
Tilmeldt:
26-05-2013
User is offline
Jeg modtog en rettelse i min

Jeg modtog en rettelse i min Manjaro allerede i dag. Jeg har læst mig til, at mange andre distributioner også allerede har patchet sikkerhedsbristen. :)


marlar
Antal: 2808
Tilmeldt:
05-12-2009
User is offline
Jeg har også lavet en

Jeg har også lavet en opdatering der retter fejlen på min Mint 17. Jeg ved ikke præcis hvornår jeg modtog den, da jeg først åbnede min bærbare da jeg skrev nyheden.

I øvrigt undrer det mig at der i changeloggen kun stod "medium" om fejlens betydning!

En fyr på denne blog har lavet scanningsværktøjet massscan som han har benyttet til at scanne internettet for udbredelsen af sårbarheden. Han påstår at hans værktøj kan scanne hele internettet på 6 minutter, det synes jeg lyder urealistisk! Men jeg tjekkede et par af mine produktionsservere, og ganske rigtigt har han været forbi der også. Søg efter hans IP 209.126.230.72 i access-loggen for at se om han har været der.


OracleJMT
OracleJMT's picture
Antal: 207
Tilmeldt:
26-05-2013
User is offline
I øvrigt undrer det mig

#2:
I øvrigt undrer det mig at der i changeloggen kun stod "medium" om fejlens betydning!

Clement Lefebvre og co. kan godt være lidt uklare mht. sikkerhed efter min mening. :-)

kan scanne hele internettet på 6 minutter

massscan må bruge en særlig matematisk algoritme. Gad godt kende den formel. Hvis Einstein eller Bohr, eller for den sags skyld Dennis Ritchie R.I.P., eller Mr. Torvalds, ville falde ned ad stolen af den, hvad så med en matematisk, talblind fyr som jeg? :-D


lbm
lbm's picture
Antal: 805
Tilmeldt:
14-06-2006
User is offline
Hver opmærksom på at den

Hver opmærksom på at den patch der kom i går er incomplete! I hvert fald på RHEL, om man bør derfor være ekstra opmærksom på en ekstra patch.

https://access.redhat.com/node/1200223
http://www.theregister.co.uk/2014/09/25/shellshock...

Jeg ved nu ikke om den er værre en heartbleed. Denne kræver at man benytter sig af miljø variabler, feks i cgi's eller som
nævnt apache. Jeg ved dog ikke om det kan udnyttes nogen form for "indgang" uden CGI.


mich
mich's picture
Antal: 933
Tilmeldt:
13-10-2007
User is offline
Hvis en af disse

#0: Hvis en af disse kommandoer giver outputtet "Busted" er man i princippet i fare:
Hos mig giver begge outputtet

/bin/sh: warning: X: ignoring function definition attempt
/bin/sh: error importing function definition for `X'
completed

GNU bash, version 4.2.48(2)-release (x86_64-mageia-linux-gnu)


marlar
Antal: 2808
Tilmeldt:
05-12-2009
User is offline
Hos mig giver begge

#5: Hos mig giver begge outputtet

Så er din Bash allerede opdateret!


marlar
Antal: 2808
Tilmeldt:
05-12-2009
User is offline
Jeg ved nu ikke om den

#4: Jeg ved nu ikke om den er værre en heartbleed.

Den er værre fordi den tillader at eksekvere vilkår kode på ramte servere. Heartbleed gjorde det muligt at fiske stumper af rammen frem, heriblandt kodeord, men det var tilfældigt hvad man fik ud af Heartbleed. Man kunne ikke bare sige "Stik mig alle kodeordene". Selvfølgelig er det alvorligt at der kan lækkes kodeord, men jeg mener det andet er mere grelt.


pawsen
Antal: 71
Tilmeldt:
22-10-2011
User is offline
Update af bash på gammel installation

Hvis man som mig sidder ved en gammel linux-install (i dette tilfælde debian Lenny), udgives der ikke længere security fixes.
Du må derfor selv patche bash, hvilket nedenstående script kan gøre. Det kan nemt modificeres til din version af bash.

#!/bin/sh

# prerequisites
sudo apt-get install bison

# get bash 3.2 source
mkdir src && cd src
wget http://ftp.gnu.org/gnu/bash/bash-3.2.tar.gz
tar zxvf bash-3.2.tar.gz
cd bash-3.2

# get the gpg keyring for verification
wget -nv ftp://ftp.gnu.org/gnu/gnu-keyring.gpg

# download and apply all patches, including the latest one that patches CVE-2014-6271
for i in $(seq -f "%03g" 1 52); do

  wget -nv https://ftp.gnu.org/gnu/bash/bash-3.2-patches/bash32-$i
  wget -nv https://ftp.gnu.org/gnu/bash/bash-3.2-patches/bash32-$i.sig

  if gpg --verify --keyring ./gnu-keyring.gpg bash32-$i.sig; then
    patch -p0 < bash32-$i
  else
    echo "patch bash32-${i} has a bad signature!"
    exit 1
  fi

done

# compile and install to /usr/local/bin/bash
./configure && make
make install

# point /bin/bash to the new binary
mv /bin/bash /bin/bash.old
ln -s /usr/local/bin/bash /bin/bash

# test by comparing the output of the following
env x='() { :;}; echo vulnerable' /bin/bash.old -c echo
env x='() { :;}; echo vulnerable' bash -c echo


lbm
lbm's picture
Antal: 805
Tilmeldt:
14-06-2006
User is offline
#7. Problemet med heartbleed

#7. Problemet med heartbleed Er også man kan få fisket privatekeyn, hvilket er katastrofalt. Men ja, denne bug er også super kritisk, men den kræver alligevel nogen forudsætninger før den er brugbar. :)

Der er nu kommet en patch til den incomplete patch, her i går. Patch igen. :)


marlar
Antal: 2808
Tilmeldt:
05-12-2009
User is offline
Hvis man som mig sidder

#8: Hvis man som mig sidder ved en gammel linux-install (i dette tilfælde debian Lenny), udgives der ikke længere security fixes.
Du må derfor selv patche bash, hvilket nedenstående script kan gøre. Det kan nemt modificeres til din version af bash.

Tak, jeg har samme problem med en Lenny server!

#9: Der er nu kommet en patch til den incomplete patch, her i går. Patch igen. :)

Ja, har lige opdateret.


Poul
Antal: 292
Tilmeldt:
18-09-2014
User is offline
Virus i Linux?

http://www.computerworld.dk/art/232020/derfor-er-b...

Ja da, der kan altså også komme virus i Linux!

Selv om det hedder sig, at man til Linux ikke behøver et sikkerhedsfirma, til at passe på computeren!

I det Linux materiale jeg har modtaget, står der at der til dato kun findes 3 kendte Linux vira - og de har oven i købet en meget begrænset skadelig effekt - pga. den måde som Linux er opbygget på!

Det er en af de store glæder man har ved Linux - man slipper for al den slags besvær!

Men altså ikke helt alligevel - vel?


OracleJMT
OracleJMT's picture
Antal: 207
Tilmeldt:
26-05-2013
User is offline
Ja da, der kan altså

#11:
Ja da, der kan altså også komme virus i Linux

Der kan/bliver lavet malware til alle platforme. Der er bare ufatteligt lidt eksisterende til Linux og BSD*

Selv om det hedder sig, at man til Linux ikke behøver et sikkerhedsfirma, til at passe på computeren!

Det kan være en god idé, men slet slet ikke så nødvendigt, som i Windows og Mac OS X.

I det Linux materiale jeg har modtaget, står der at der til dato kun findes 3 kendte Linux vira - og de har oven i købet en meget begrænset skadelig effekt - pga. den måde som Linux er opbygget på!

Virus hører under kategorien malware, som består af virus, orme, trojanske heste, rootkits, bagdøre, spyware, adware, ransomware og exploits.

Der findes meget lidt malware til Linux/Unix generelt. Det meste foregår enten ved hjælp af social engineering, som vil sige, at snyde brugeren til, at installere truslen, eller ved, at udnytte sårbarheder i systemerne, som brugeren(ne) ikke har opdateret. I Linux foregår opdatering meget nemt og sikkert og lige så snart, der er en sårbarhed, vil der ikke gå længe, før der kommer en rettelse, der retter sårbarheden. Så længe du huske at holde systemet opdateret, og bruger din sunde fornuft på internettet, er du meget sikker i Linux, og chancen for infektion meget meget lille. Især hvis du kun installerer software fra dit lokale software center i din Linux distribution og holder dig fra, at installere software fra browseren, kun besøger legitime sider, og ikke åbner mistænkelig mail.

Det er en af de store glæder man har ved Linux - man slipper for al den slags besvær!

Det er chancen meget større for, at du slipper for i Linux, ja. :-)

Men altså ikke helt alligevel - vel?

Du kan kun være 100% sikker, når du hiver netværkskablet ud af computeren, eller på anden måde afbryder forbindelsen, men jeg synes det er rart, og betryggende, at vide, at du i Linux er meget mere sikker, end du er på næsten nogen anden platform.

Så vær du helt rolig, Poul. :)


joedalton
Antal: 78
Tilmeldt:
26-01-2009
User is offline
Min wheezy var vist også ramt

men en opdatering fjernede busted.

joe@pc:~$ env X="() { :;} ; echo busted" /bin/sh -c "echo completed"
completed
joe@pc:~$ env X="() { :;} ; echo busted" `which bash` -c "echo completed"
busted
completed
joe@pc:~$ env X="() { :;} ; echo busted" /bin/sh -c "echo completed"
completed
joe@pc:~$ env X="() { :;} ; echo busted" `which bash` -c "echo completed"
completed
joe@pc:~$


frogmaster
frogmaster's picture
Antal: 3272
Tilmeldt:
20-05-2010
User is offline
Tak for info Marlar med

Tak for info Marlar med flere.

Linux er nu i orden for mit vedkommende, men til OSX brugerene eksisterer problemt stadig. Man kan også på OSX allerede nu patche bash, men det vil jeg ikke anbefale, på grund at potentiel risiko for, at det knækker noget.

I stedet er det formentlig klogere at vente på en officiel opdatering fra Apple.

Med mindre man bruger en webserver, eller SSL (jeg gør ikke) på OSX, så er risikoen formentlig meget lille.


frogmaster
frogmaster's picture
Antal: 3272
Tilmeldt:
20-05-2010
User is offline
Ja da, der kan altså

#11: Ja da, der kan altså også komme virus i Linux!

Jo som der nævnes, så eksistere det fejlfri system ikke, men det er ikke et problem som du kender det fra Windows.

Kun en gang har jeg været ude for virus på Linux, og det var en Windows virus på et program der hedder Wine. Wine gør det muligt at køre visse Windows programmer på Linux. Denne virus var ikke i stand til at gøre skade på Linux.

Jeg har en gang oplevet virus på en Mac computer. Det var noget adware, som lidt ligner sådan noget, man altid finder på Windows maskiner. Man regner med at ca 2 millioner vira er aktive på Windows, mens tilsvarende på Linux og Mac kan tælles på en hånd.

Som du kan se af tråden Poul, så findes det ikke noget mere sikkert end Linux. Problemet er løst efter få dage efter opdagelsen af fejlen.


snakee
Antal: 477
Tilmeldt:
12-07-2007
User is offline
Det er fint information om

Det er fint information om Shellshock men jeg mener nu alligevel at truslen er en storm i et glas vand da langt langt de fleste standardinstallationer af PHP slet ikke burde tillade adgang til bash, hvilket de så heller ikke gør. Det er med dette som så mange gange ofte før at systemet fejler faktisk ikke noget men så er der en eller anden tosse der konfigurerer systemet forkert og åbner en masse bagdøre. Men dette beviser jo bare at fællesskabet tager sikkerhedstrusler SUPER seriøst og faktisk var fejlen allerede lappet næsten samme dag den blev offentliggjort. Dejligt at se i modsætning til de store kommercielle firmaer som Apple og Microsoft, her bliver man ladt i stikken i flere uger, ja enda nogle gange måneder når noget opdages.

Det er noget af det jeg holder rigtig meget af i Linux og noget af det der gør at man med sindsro kan sætte sig ned og sige "jeg bruger Linux bla. fordi det er noget af det mest sikre". Når der opdages noget - for selvfølgelig bliver Linux også ramt af menneskelige fejl ind i mellem - så bliver det lappet PRONTO. ikke noget med måneder og uger det bliver lappet i dag eller i morgen eller også er det allerede blevet lappet inden sårbarheden overhovedet blev offentliggjort. Det kan jeg lide at se. Godt og solidt arbejde, noget de store kunne lære RIGTIG menegt af.


marlar
Antal: 2808
Tilmeldt:
05-12-2009
User is offline
Helt enig i det hele!

#16:

Helt enig i det hele!