Nieuwe ronde updates voor ernstig Bash-lek
Er is een nieuwe ronde updates voor het ernstige lek in Bash verschenen, gebaseerd op een onofficiële update van beveiligingsexpert Florian Weimer van Red Hat. Daarnaast is er ook een nieuw probleem in het programma ontdekt. Bash is een Unix-shell waarmee er opdrachten aan het systeem kunnen worden gegeven. Het wordt voor allerlei toepassingen gebruikt en veel programma's draaien het in de achtergrond. Na ontdekking van het lek deze week werd er een update uitgerold. Die bleek het probleem niet geheel op te lossen, wat ook gold voor een tweede update.
Het eerste oorspronkelijke Bash-lek kreeg CVE-nummer 2014-6271 toegekend. Beveiligingsonderzoeker Tavis Ormandy ontdekte een soortgelijk probleem in Bash dat niet door de patch werd verholpen, iets wat Red Hat bevestigde. Deze kwetsbaarheid kreeg CVE-nummer 2014-7169. Tijdens het werken aan de Bash-patch voor dit probleem ontdekte Weimer twee nieuwe problemen, dit keer met het CVE-nummer CVE-2014-7186 en CVE-2014-7187. Voor deze problemen waren nog geen updates beschikbaar, wat Florian Weimer inspireerde om een onofficiële update te maken. Deze update is nu ook officieel voor Red Hat uitgerold.
Nieuw probleem
Beveiligingsonderzoeker Michael Zalewski heeft inmiddels een nieuw probleem binnen Bash ontdekt, dat CVE-nummer 2014-6277 heeft gekregen. Deze kwetsbaarheid is waarschijnlijk op afstand te misbruiken en is eenvoudiger aan te vallen vanwege het feit dat Bash zelden met ASLR wordt gecompileerd. Red Hat zou echter niet voor dit specifieke Bash-lek kwetsbaar zijn. Zalewski adviseert in ieder geval om de update van Weimer te installeren. Meer details over zijn kwetsbaarheid zullen later bekend worden gemaakt.
Apple en Oracle
Bash is naast Linux ook op Mac OS X aanwezig. Apple verklaart tegenover Security.NL dat een eerdere verklaring op iMore, dat de meeste Mac OS X- gebruikers standaard niet kwetsbaar zijn, correct is. Het probleem op OS X doet zich alleen voor als gebruikers "geavanceerde UNIX-services" configureren. Het gaat dan om het inschakelen van Remote Login met gastaccounts of het installeren en draaien van Apache/PHP of andere scripting-omgeving, zo laat Intego weten. Apple werkt op dit moment voor deze gebruikers aan een update.
Daarnaast heeft ook Oracle nu een waarschuwing voor het Bash-lek afgegeven en een overzicht van alle kwetsbare producten gepubliceerd waarvoor een update al dan niet beschikbaar is. Voor Oracle Linux en Solaris zijn updates beschikbaar, maar meer dan 30 andere producten wachten nog op een patch.
With all this hyping around shellshock I have several questions I would like somebody having explained me. I found: http://www.troyhunt.com/2014/09/everything-you-need-to-know-about.html
1/ The first thing that wonders me: I see no Privilege escalation or memory leak being mentioned.
When I have access to the shell there is no additional risk. The extra command is run by my credentials in a way that I also could have typed.
Correct?
2/ This limits the impact of vulnerabilities by access methods you are not expected to use a shell.
I see the webservice being mentioned Apache as an example. It could also be a remote login, that easy way for taken over a machine (rat). That is because identification/authentication is missing.
Correct?
Of course the webinterface is an important one.
3/ The observed problem is of the type "code injection". Not an unknown attack options, a very classic one. https://www.owasp.org/index.php/Code_Injection and more dedicated https://www.owasp.org/index.php/Reviewing_Code_for_OS_Injection If the problem was mentioned as being SQL-injection the reaction would be "tell something new"
Correct?
4/ For the webinterface Apache is common used one. It is having environment variables being mentioned as a way to communicate to other programs. I found
http://httpd.apache.org/docs/2.2/env.html - http://httpd.apache.org/docs/2.2/programs/suexec.html
At the moment it is processed and passed to an other program OS calls are involved.
The webserver could have run by a restricted user and the involved run could have defined to run by an other restricted user. The problem of shellshock at this point is the credentials of the webserver process are used. A common habit is to leave that very open because ....
Correct?
I think so because I also have seen thinks like:
https://www.trustedsec.com/september-2014/shellshock-dhcp-rce-proof-concept/
http://security.stackexchange.com/questions/68146/how-do-i-secure-apache-against-the-bash-shellshock-vulnerability
My question for this all is: Why are all those services running by default with that high privileges that when something gets broken the impact is that high. Would it not be better to run services at the least needed privileges.
In het Nieuwe OSX is het gewoon een vereist dat,dit lek is gedicht.
Ik hoop ook dat Apple ook voor Maverics,en mogelijk voor Mountainlion dit gat dicht.
Er zijn namelijk nog veel mensen die OSX mountainlion gebruiken,tevens ook Maverics,want Maverics is tot Yosimite het nieuwste OSX.
Volgens mij is het bij Apple een gewoonte geworden om tegenwoordig ieder jaar met een nieuwe versie van OSX te komen,of met grote service updates.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
