image

Nieuwe ronde updates voor ernstig Bash-lek

zondag 28 september 2014, 13:49 door Redactie, 5 reacties

Er is een nieuwe ronde updates voor het ernstige lek in Bash verschenen, gebaseerd op een onofficiële update van beveiligingsexpert Florian Weimer van Red Hat. Daarnaast is er ook een nieuw probleem in het programma ontdekt. Bash is een Unix-shell waarmee er opdrachten aan het systeem kunnen worden gegeven. Het wordt voor allerlei toepassingen gebruikt en veel programma's draaien het in de achtergrond. Na ontdekking van het lek deze week werd er een update uitgerold. Die bleek het probleem niet geheel op te lossen, wat ook gold voor een tweede update.

Het eerste oorspronkelijke Bash-lek kreeg CVE-nummer 2014-6271 toegekend. Beveiligingsonderzoeker Tavis Ormandy ontdekte een soortgelijk probleem in Bash dat niet door de patch werd verholpen, iets wat Red Hat bevestigde. Deze kwetsbaarheid kreeg CVE-nummer 2014-7169. Tijdens het werken aan de Bash-patch voor dit probleem ontdekte Weimer twee nieuwe problemen, dit keer met het CVE-nummer CVE-2014-7186 en CVE-2014-7187. Voor deze problemen waren nog geen updates beschikbaar, wat Florian Weimer inspireerde om een onofficiële update te maken. Deze update is nu ook officieel voor Red Hat uitgerold.

Nieuw probleem

Beveiligingsonderzoeker Michael Zalewski heeft inmiddels een nieuw probleem binnen Bash ontdekt, dat CVE-nummer 2014-6277 heeft gekregen. Deze kwetsbaarheid is waarschijnlijk op afstand te misbruiken en is eenvoudiger aan te vallen vanwege het feit dat Bash zelden met ASLR wordt gecompileerd. Red Hat zou echter niet voor dit specifieke Bash-lek kwetsbaar zijn. Zalewski adviseert in ieder geval om de update van Weimer te installeren. Meer details over zijn kwetsbaarheid zullen later bekend worden gemaakt.

Apple en Oracle

Bash is naast Linux ook op Mac OS X aanwezig. Apple verklaart tegenover Security.NL dat een eerdere verklaring op iMore, dat de meeste Mac OS X- gebruikers standaard niet kwetsbaar zijn, correct is. Het probleem op OS X doet zich alleen voor als gebruikers "geavanceerde UNIX-services" configureren. Het gaat dan om het inschakelen van Remote Login met gastaccounts of het installeren en draaien van Apache/PHP of andere scripting-omgeving, zo laat Intego weten. Apple werkt op dit moment voor deze gebruikers aan een update.

Daarnaast heeft ook Oracle nu een waarschuwing voor het Bash-lek afgegeven en een overzicht van alle kwetsbare producten gepubliceerd waarvoor een update al dan niet beschikbaar is. Voor Oracle Linux en Solaris zijn updates beschikbaar, maar meer dan 30 andere producten wachten nog op een patch.

Reacties (5)
28-09-2014, 15:40 door Anoniem
Ik zie al een bevestiging op de vragen 1 en 2 in deze post.

With all this hyping around shellshock I have several questions I would like somebody having explained me. I found: http://www.troyhunt.com/2014/09/everything-you-need-to-know-about.html

1/ The first thing that wonders me: I see no Privilege escalation or memory leak being mentioned.
When I have access to the shell there is no additional risk. The extra command is run by my credentials in a way that I also could have typed.
Correct?

2/ This limits the impact of vulnerabilities by access methods you are not expected to use a shell.
I see the webservice being mentioned Apache as an example. It could also be a remote login, that easy way for taken over a machine (rat). That is because identification/authentication is missing.
Correct?
Of course the webinterface is an important one.

3/ The observed problem is of the type "code injection". Not an unknown attack options, a very classic one. https://www.owasp.org/index.php/Code_Injection and more dedicated https://www.owasp.org/index.php/Reviewing_Code_for_OS_Injection If the problem was mentioned as being SQL-injection the reaction would be "tell something new"
Correct?

4/ For the webinterface Apache is common used one. It is having environment variables being mentioned as a way to communicate to other programs. I found
http://httpd.apache.org/docs/2.2/env.html - http://httpd.apache.org/docs/2.2/programs/suexec.html
At the moment it is processed and passed to an other program OS calls are involved.
The webserver could have run by a restricted user and the involved run could have defined to run by an other restricted user. The problem of shellshock at this point is the credentials of the webserver process are used. A common habit is to leave that very open because ....
Correct?

I think so because I also have seen thinks like:
https://www.trustedsec.com/september-2014/shellshock-dhcp-rce-proof-concept/
http://security.stackexchange.com/questions/68146/how-do-i-secure-apache-against-the-bash-shellshock-vulnerability

My question for this all is: Why are all those services running by default with that high privileges that when something gets broken the impact is that high. Would it not be better to run services at the least needed privileges.
28-09-2014, 15:53 door [Account Verwijderd] - Bijgewerkt: 28-09-2014, 15:58
[Verwijderd]
28-09-2014, 16:44 door Anoniem
Apple,moet gewoon dit lek ook gedicht hebben voordat Osx Yosimite uitkomt.
In het Nieuwe OSX is het gewoon een vereist dat,dit lek is gedicht.
Ik hoop ook dat Apple ook voor Maverics,en mogelijk voor Mountainlion dit gat dicht.
Er zijn namelijk nog veel mensen die OSX mountainlion gebruiken,tevens ook Maverics,want Maverics is tot Yosimite het nieuwste OSX.
Volgens mij is het bij Apple een gewoonte geworden om tegenwoordig ieder jaar met een nieuwe versie van OSX te komen,of met grote service updates.
28-09-2014, 17:53 door [Account Verwijderd]
[Verwijderd]
29-09-2014, 11:31 door Anoniem
Patch moet er komen ja maar is het zo erg dan op je macbook met OS X?
Hoe veel mensen laat je bij je bash shell komen?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.