Shell Shock bedroht Server

[Florian]

Ein Bug, der offensichtlich seit über 25 Jahren in der Bash-Shell besteht erlaubt die Ausführung jedweden Codes auf entsprechenden Servern. Das betrifft v.a. Webserver, auch die wenigen, die auf OS X laufen.
http://www.heise.de/newsticker/meldung/ShellShock-Standard-Unix-Shell-Bash-erlaubt-das-Ausfuehren-von-Schadcode-2403305.html

Nun wird fieberhaft gepatcht, ohne vollständige oder ganz ohne Wirkung. Von Apple stehen Stellungnahmen und Patches noch aus.

Router scheinen nicht betroffen, dafür einige Industrieanlagen, die erfahrungsgemäß sehr langsam oder gar nicht gepatcht werden.

[MacFlieger]

OK, in Enviromentvariablen können also Shellbefehle eingebaut werden.

Ich habe jetzt nur das Angriffsszenario noch nicht verstanden. Wie könnte auf welche Weise wo Schadcode injiziert werden? Und wie könnte der ausgenutzt werden?

[mbs]

Das größte Problem ist wohl, dass dieser Mechanismus so universell ist, dass man im Moment noch gar nicht verstanden hat, wo man das überall zu einem Angriff ausnutzen könnte.

Das Hauptszenario, das im Moment diskutiert wird, ist die Verwendung dieser Technik beim Aufruf von CGI-Skripten auf einem Apache-Webserver. Der 20 Jahre alte CGI-Standard und dessen übliche Implementation sieht vor, dass bestimmte Teile aus einem eingehenden HTTP-Request ungeprüft in Umgebungsvariablen übernommen werden und dann eine Kind-Shell mit diesen Variablen aufgerufen wird, die dann ihrerseits das CGI-Programm startet. Man braucht also bloß manipulierte HTTP-Anfragen an einen Apache zu schicken, auf dem CGI eingeschaltet ist und die User-Shell für dessen Benutzer-Account auf bash gesetzt ist.

[MacFlieger]

OK, danke.

[radneuerfinder]

http://www.heise.de/security/meldung/Mac-OS-X-Bash-Update-gegen-ShellShock-2405325.html