Dieses Forum nutzt Cookies
Dieses Forum verwendet Cookies, um deine Login-Informationen zu speichern, wenn du registriert bist, und deinen letzten Besuch, wenn du es nicht bist. Cookies sind kleine Textdokumente, die auf deinem Computer gespeichert sind; Die von diesem Forum gesetzten Cookies düfen nur auf dieser Website verwendet werden und stellen kein Sicherheitsrisiko dar. Cookies auf diesem Forum speichern auch die spezifischen Themen, die du gelesen hast und wann du zum letzten Mal gelesen hast. Bitte bestätige, ob du diese Cookies akzeptierst oder ablehnst.

Ein Cookie wird in deinem Browser unabhängig von der Wahl gespeichert, um zu verhindern, dass dir diese Frage erneut gestellt wird. Du kannst deine Cookie-Einstellungen jederzeit über den Link in der Fußzeile ändern.
Hallo, Gast! (Registrieren)
01.12.2024, 13:44



Sicherheitslücke in Bash
#1
27.09.2014
bisty Abwesend
Wonderbolt
*


Beiträge: 1.824
Registriert seit: 16. Jul 2012

Sicherheitslücke in Bash
Hallo, Admins, man hat vor kurzem eine ziemlich interessante Sicherheitslücke in Bash gefunden, die man auch per Netzwerk ausnutzen kann. Ich würde also an eure Stelle Bash updaten, falls ihr das noch nicht gemacht habt, und falls das nicht automatisch gemacht wurde.
Zitieren
#2
27.09.2014
Evenprime Offline
Ein Colt für alle Fälle
*


Beiträge: 3.643
Registriert seit: 28. Dez 2011

RE: Sicherheitslücke in Bash
Der Server ist seit heute Morgen auf aktuellem Stand. Ich hoffe mal, dass der letzte Bugfix nun auch tatsächlich hält.

Für uns hier sollte es zumindest nach aktuell bekannten Informationen nicht (so) gefährlich gewesen sein wie für andere Server, da die imho gefährlichste Angriffsfläche über Apache in Kombination mit cgi-scripts bei uns in der Form (afaik) nicht vorkommt.

Trotzdem natürlich better safe than sorry und jedenfalls Danke für den Hinweis. Twilight happy

[Bild: signatur_rarity_trixicqstl.png]
Best Pony - Best Antagonist - Best Villain
[Bild: animateduserbaruuqd7.gif]

Many bronies have become… really unnecessarily cynical. About themselves, about each other, about this fandom on a whole. And I think that's something we need to fix, and have faith that we can. ~Nicholas Ha
Zitieren
#3
27.09.2014
Dai Senpai Offline
Nurse Pony
*


Beiträge: 3.622
Registriert seit: 09. Mär 2012

RE: Sicherheitslücke in Bash
Bestes Techmin Team EU West! ^^
Even is best Jungle-Champ EU West... nerf pls

Sauber hinbekommen. Mal ne Frage, was wäre passiert wenn diese Sicherheitslücke gegriffen hätte?

[Bild: glzvu8sh.png]
~ Wheatus - Teenage Dirtbag
>>>Fragethread 
Bequem online, auch auf Lan. BIG ist unser Hoffnung. aka Die4Ever
Die geilste CS Montage aller Zeiten <3

                     
Zitieren
#4
27.09.2014
Evenprime Offline
Ein Colt für alle Fälle
*


Beiträge: 3.643
Registriert seit: 28. Dez 2011

RE: Sicherheitslücke in Bash
(27.09.2014)Die4Ever schrieb:  Bestes Techmin Team EU West! ^^
Even is best Jungle-Champ EU West... nerf pls

Sauber hinbekommen. Mal ne Frage, was wäre passiert wenn diese Sicherheitslücke gegriffen hätte?

Ich verstehe kein Wort. Derpy confused

Also ich versuche mal zu erklären, was die Sicherheitslücke bedeutet (für nicht-Techniker):

Unter bestimmten Umständen war es möglich mit einem normalen Aufruf einer Webseite (z.b. "http://www.google.com") am Server beliebigen Code auszuführen mit den Rechten der Webserveranwendung (welche zumindest in den für die Webseite relevanten Verzeichnissen Lese- und meist Schreibrechte hat). Also es wäre ohne weiteres möglich auf verwundbaren Webseiten Dateien direkt von der Festplatte des Servers zu löschen oder diese zu verändern. Auch das Installieren von neuen Programmen wäre meist kein Problem.

Die "bestimmten Umstände" sind recht häufig im Internet zu finden: Die Webseite muss den Apache Webserver (oä.) nutzen und während dem Verarbeiten der Anfrage zu irgendeinem Zeitpunkt ein Shell-Skript ausführen (egal welches, hauptsache es wird mit Hilfe der "Bash" ausgeführt, was auf den meisten Linux/Unix/MacOS-Systemen wohl der Fall ist).

Die reine Standard-MyBBoard-Software macht keine solchen Aufrufe (soweit mir bekannt), da sie diese nicht benötigt und somit leichter auch auf billigen Webhostern (die entsprechende Skripte nicht oder nur gegen Aufpreis unterstützen) installierbar ist.

Aber für komplexere Webanwendungen kann man auf die Möglichkeit Shell-Skripts auszuführen nicht verzichten und auch vorallem Geräte die über eine Weboberfläche gesteuert werden können (z.B. Router/Modems bei den Leuten zuhause) brauchen diese Möglichkeit, um zu funktionieren.

Es sind auch noch ein paar andere Dinge betroffen, jenseits von Webservern, aber das ist das einzige was für uns hier mMn. im Moment relevant gewesen wäre.

[Bild: signatur_rarity_trixicqstl.png]
Best Pony - Best Antagonist - Best Villain
[Bild: animateduserbaruuqd7.gif]

Many bronies have become… really unnecessarily cynical. About themselves, about each other, about this fandom on a whole. And I think that's something we need to fix, and have faith that we can. ~Nicholas Ha
Zitieren
#5
27.09.2014
Dai Senpai Offline
Nurse Pony
*


Beiträge: 3.622
Registriert seit: 09. Mär 2012

RE: Sicherheitslücke in Bash
Ahhh, danke für diese Erklärung. Nun blicke ich da ein bisschen besser durch! ^^

Gottseidank habt ihr das dann gefixed! ^^; Gute Arbeit.

[Bild: glzvu8sh.png]
~ Wheatus - Teenage Dirtbag
>>>Fragethread 
Bequem online, auch auf Lan. BIG ist unser Hoffnung. aka Die4Ever
Die geilste CS Montage aller Zeiten <3

                     
Zitieren
#6
27.09.2014
mrx1983 Offline
Streamerpony
*


Beiträge: 4.672
Registriert seit: 05. Jul 2012

RE: Sicherheitslücke in Bash
Ich werde nix fixen ^^
Dafür habe ich Marcell Davis RD laugh
Ne aber ich habe auch mal bei 1&1 angefragt wie das aussieht mit der Bash Sicherheitslücke AJ hmm
Mal hoffen das deren Server davon jetzt nicht zu stark betroffen sind und es schnell gefixt wird.

[Bild: rainbowdashsig.png]
Zitieren
#7
27.09.2014
Herrmannsegerman Offline
staatlich geprüftes Gurkenpony Bronies Bayern e.V. Vizechef
*


Beiträge: 3.943
Registriert seit: 08. Feb 2014

RE: Sicherheitslücke in Bash
Muss mich denn als Otto-Normal Internetnutzer jetzt irgendwas beachten?

[Bild: ladawcol5.jpg]
Frag das Gurkenpony - ganz unverbindlich! --- Herrmann is best Herrmann! - Der Fanclub!
Epic Avatar ist Epic! Ich danke Colora Paint! --- My very, very Special Somepony!
Ich bin heimlich schwul
Zitieren
#8
27.09.2014
mrx1983 Offline
Streamerpony
*


Beiträge: 4.672
Registriert seit: 05. Jul 2012

RE: Sicherheitslücke in Bash
(27.09.2014)Herrmannsegerman schrieb:  Muss mich denn als Otto-Normal Internetnutzer jetzt irgendwas beachten?
Also wenn du Linux mit Bash am laufen hast und eine Applikation wie einen Webdienst nach außen hast, könnte was passieren.
Ich denke das betrifft vorallem Webserver.
Od. auch Geräte auf Linux Basis die Bash am laufen haben, und Dienste nach außen haben

[Bild: rainbowdashsig.png]
Zitieren
#9
27.09.2014
Herrmannsegerman Offline
staatlich geprüftes Gurkenpony Bronies Bayern e.V. Vizechef
*


Beiträge: 3.943
Registriert seit: 08. Feb 2014

RE: Sicherheitslücke in Bash
(27.09.2014)mrx1983 schrieb:  
(27.09.2014)Herrmannsegerman schrieb:  Muss mich denn als Otto-Normal Internetnutzer jetzt irgendwas beachten?
Also wenn du Linux mit Bash am laufen hast und eine Applikation wie einen Webdienst nach außen hast, könnte was passieren.
Ich denke das betrifft vorallem Webserver.
Od. auch Geräte auf Linux Basis die Bash am laufen haben, und Dienste nach außen haben

Nah, dann nicht. Mit Linux hab ich nichts am Hut. Thanks for se Help.

[Bild: ladawcol5.jpg]
Frag das Gurkenpony - ganz unverbindlich! --- Herrmann is best Herrmann! - Der Fanclub!
Epic Avatar ist Epic! Ich danke Colora Paint! --- My very, very Special Somepony!
Ich bin heimlich schwul
Zitieren
#10
27.09.2014
Lappen Offline
Ponyville Pony
*


Beiträge: 145
Registriert seit: 04. Aug 2014

RE: Sicherheitslücke in Bash
Ziemliche Panikmache mal wieder. Wer Software am laufen hat, bei der sich das überhaupt ausnutzen lässt, der hat das eigentliche Problem schon gefunden.

[Bild: ck46fszz.jpg]
Feuchter Lappen
Zitieren
#11
29.09.2014
404compliant Offline
GalaCon Volunteer-Stratege Carrot Not Found
*


Beiträge: 8.345
Registriert seit: 23. Okt 2011

RE: Sicherheitslücke in Bash
Der Fehler kann wirklich nur zuschlagen, wenn irgendwo vom Webserver aus Shell-Skripte gestartet werden, was eigentlich an sich schon ein Anachronismus und eine Performace-Krücke ist. Zusätzlich müssen diesem Shell-Skript noch ungeprüft Environment-Variablen übergeben werden, was auch... naja ist. Und selbst dann, läuft solcher eingeschleuster Code in der Regel maximal mit sehr eingeschränkten Rechten.

Normale Standard-Szenarien, z.B. LAMP-Webserver o.ä. laden z.B. die PHP-Skripte direkt per Modul in den Webserver, ohne Umwege. So lange diese PHP-Skripte dann nicht externe Programme über bash-Umweg starten und auch noch ungeprüft Müll in die Environmnt schreiben (was sicher noch einige andere, interessante Risiken birgt), kann nichts passieren.

Zitieren
#12
29.09.2014
Evenprime Offline
Ein Colt für alle Fälle
*


Beiträge: 3.643
Registriert seit: 28. Dez 2011

RE: Sicherheitslücke in Bash
(29.09.2014)404compliant schrieb:  So lange diese PHP-Skripte dann nicht externe Programme über bash-Umweg starten und auch noch ungeprüft Müll in die Environmnt schreiben (was sicher noch einige andere, interessante Risiken birgt), kann nichts passieren.

Offenbar ist genau das das Problem, denn zumindest soweit ich es laut Beschreibung in den Veröffentlichungen zu dem Bug rauslesen konnte, gibt der Apache immer ein paar Environment-Variablen per Default an die Skripte mit. Unter anderem den "Host"-Wert aus dem Request des Besuchers, der vom Besucher bzw. dessen Browser anhand der aufgerufenen url festgelegt wird und daher auch beliebig manipuliert werden könnte.

Kann auch sein, dass ich den Teil missverstanden habe, daher bitte nicht auf mich berufen. Twilight happy

[Bild: signatur_rarity_trixicqstl.png]
Best Pony - Best Antagonist - Best Villain
[Bild: animateduserbaruuqd7.gif]

Many bronies have become… really unnecessarily cynical. About themselves, about each other, about this fandom on a whole. And I think that's something we need to fix, and have faith that we can. ~Nicholas Ha
Zitieren
#13
29.09.2014
404compliant Offline
GalaCon Volunteer-Stratege Carrot Not Found
*


Beiträge: 8.345
Registriert seit: 23. Okt 2011

RE: Sicherheitslücke in Bash
Beim alten CGI-BIN Interface, ja. Aber wie schon gesagt, so hat man Webinhalte vor 20 Jahren produziert. Allein der Overhead, für jeden Seitenabruf mindestens einen (eher mehr) Unix-Prozesse zu starten, ist hoffnungsloser Overkill.

Lässt man mal CGI-BIN außen vor, bleiben eventuell von direkt im Webserver laufenden Skripten angestoßene Programme. Zum Beispiel Tools wie ImageMagick, um Bilder zu skalieren, oder ähnliches. In dem Fall würde man aber direkt das Tool starten, statt den Umweg über die bash zu gehen. Und außerdem kommt da hoffentlich keiner auf die Idee, Parameter per Environment statt schlicht als Parameter zu übergeben.

Jeder Versuch, hier Dinge mittels Shell-Skripten zu lösen, führt direkt in eine Hölle, gegen die SQL-Injection harmlos sind. Nebenbei angemerkt, die AVM FritzBox-Lücke von Anfang des Jahres fällt in diese Kategorie, auch da wurde Shellscript-Code über den Umweg einer Environment-Variable durch den Webserver geschleust und versehentlich von einem Skript ausgeführt. Gerade bei embedded Systemen wird gerne der Webserver eng mit dem Unix-Kern verbunden, weil es Mehraufwand vermeidet.

Zitieren


Gehe zu:


Benutzer, die gerade dieses Thema anschauen: 3 Gast/Gäste