Deutsch | English
Dieser Blog enthält keine offiziellen Aussagen von CERT.at, sondern persönliche Meinungen einzelner Mitarbeiter.

Gedanken nach meinem shellshock

30. September 2014

Zum Thema Shellshock ist mir heute nach diesem Artikel wiederholt richtig klar geworden, dass das ganze dieses mal nicht so einfach ist wie Heartbleed - die Diversität mit der sich bash bugs (bzw. shell mis-interpretationen) verstecken ist interessant!

Nach lesen des Artikels kann man sich jetzt fragen, ob auch OpenVPN betroffen ist und alle VPNs der Welt unsicher sind. Aber das dürfte hier nicht so trivial und häufig ausnutzbar sein wie beim ersten bash-bug.

Zitat aus dem Artikel:

"Gert Doering, speaking on behalf of the OpenVPN open source community version, said that OpenVPN is vulnerable only on systems where /bin/sh points to /bin/bash, or if a script that runs using bash as an interpreter is called explicity."

Sprich: da muss man schon üblicherweise ein shell script bei OpenVPN angeben und dann noch explizit die bash als Interpreter angeben (und weiters geht's auch nicht, wenn man client certificates verwendet). Aber egal... das ändert nichts an der Diversität , mit der sich der bash-bug in Software zeigt. Es ist vielmehr ein schönes Beispiel, wie viele diverse Stellen wir noch mit dem bash-bug entdecken werden.

Ich sehe kaum einen Weg, systematisch alle verwundbaren Systeme zu finden und die Betroffenen zu informieren. Und schon gar nicht, ohne ein System aktiv zu überreden, fremden shellcode auszuführen. Auf github ist eine nette Übersicht zu finden, was potentiell alles von shellshock betroffen sein kann (PoC code!).

Wie Matt Blaze vor kurzem sagte:

"That said, our practice of using Turing-complete interpreters to parse network input is giving a scorpion a ride as we swim across the pond."

Erinnert mich verdammt an das Thema langsec am 28. CCC

Hmm...

Autor: L. Aaron Kaplan

Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Kritische Sicherheitslücken in Adobe Acrobat und Reader - Patches verfügbar
2. Oktober 2018 | Beschreibung Adobe ...
Kritische Sicherheitslücken in Adobe Acrobat und Reader - Patches verfügbar
19. September 2018 | Beschreibung Adobe ...
mehr ...
Der nächste Meilenstein: [CERT.at #1000000]
26. September 2018 | ...
DoS-Schwachstelle im Kernel - keine Panik!
7. August 2018 | In der ...
mehr ...
Jahresbericht 2016
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2014/10/1 - 14:53:06
Haftungsausschluss / Datenschutzerklärung