Skip to content

Sicherheitslücken in Bash und APT

Sicherheitslücken gibt es immer wieder einmal in Betriebssystemen. Diese und letzte Woche wurden aber zwei sehr gravierende Mängel in der Bash und im Paketmanagementsystem APT gefunden.

ShellShock: Sicherheitslücke in der Bash

Es ist gerade einmal drei Monate her, dass ein kritischer Programmierfehler in der OpenSSL-Bibliothek zur Verschlüsselung von Verbindungen für Aufsehen sorgte. Heartbleed sorgte dafür, dass zahlreiche Server aktualisiert werden und Benutzer ihre Passwörter ändern mussten. Jetzt gibt es mit ShellShock eine neue Sicherheitslücke, diesmal in der Bash, die ähnlich schwerwiegend ist.

Hintergrund des Problem ist, dass es möglich ist, über Umgebungsvariablen beliebigen Code bei der Ausführung einer neuen Shell-Instanz ausführen zu lassen. Wie gezeigt wurde, sind damit vor allem Webserver, die noch CGI nutzen, leicht angreifbar. Die meisten Linux-Distributoren haben die Lücke bereits behoben, sie scheint aber noch nicht gänzlich zu wirken.

Ob das eigene System noch betroffen ist, kann man mittels

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

im Terminal prüfen. Ist das Ergebnis vulnerable, so ist man verwundbar. In dem Fall sollte man schnellsten die vom Distributor bereitgestellten Updates installieren. Bei einem gepatchten System erscheint

bash: Warnung: x: ignoring function definition attempt
bash: Fehler beim Importieren der Funktionsdefinition für »x«.
this is a test

Quellen

Pufferüberlauf in APT

APT (Advanced Packaging Tool) ist das Paketmanagementsystem unter Debian, Ubuntu und deren Derivate. Diese Woche wurde von Googles Sicherheitsteam ein Fehler in der Paketverwaltung gefunden, der es ermöglicht, Schadcode auszuführen.

Als Angriffsszenario wird ein Man-in-the-middle-Angriff genannt, bei dem der Angreifer manipulierte Pakete einschleust und so einen Pufferüberlauf erzeugt. Hiermit ist es dann möglich, beliebigen Schadcode auszuführen. Problematisch ist dies auch deswegen, da APT in der Regel mit Root-Rechten läuft und vollen Zugriff auf das System hat.

Debian und Ubuntu haben bereits Updates bereitgestellt, die man baldmöglichst installieren sollte. Hierbei sollte man am besten darauf achten, die Pakete aus einer vertrauenswürdigen Quelle bzw. einem vertrauenswürdigem Netzwerk zu beziehen.

Letzte Woche wurde bereits ein Lücke bei den Signaturen in APT behoben.

Quellen

Trackbacks

deesaster.org am : Wochenrückblick 39/2014

Vorschau anzeigen
Der Wochenrückblick lässt das Geschehen der vergangenen Woche rund um Ubuntu, Linux und Open Source Revue passieren. Rund um Ubuntu Finale Beta von Ubuntu 14.10 Nur noch einen Monat, dann erscheint Ubuntu 14.10 „Utopic Unicorn“. Wie immer gibt es vorab ei

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Noch keine Kommentare

Kommentar schreiben

Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Formular-Optionen