# [SECURITY] Allgemeiner BASH Exploit - Linux Updates einspielen



## Till (24. Sep. 2014)

Für alle die es noch nicht gesehen haben: Es ist mal wieder ein GAU im Linux Bereich passiert, es wurde ein Lücke in der BASH Shell gefunden und diese ist über das Netz ausnutzbar. Da BASH auf fast allen Systemen installiert ist, gibt es hier dringenden Handlungsbedarf.
Mehr Infos:
http://permalink.gmane.org/gmane.linux.debian.user.security.announce/3194
http://www.csoonline.com/article/26...ity/remote-exploit-in-bash-cve-2014-6271.html


----------



## nowayback (25. Sep. 2014)

http://www.heise.de/open/meldung/Ba...nden-2403607.html?wt_mc=rss.open.beitrag.atom



> *Bash-Lücke: ShellShock ist noch nicht ausgestanden*
> *
> Die Sicherheitslücke in der Linux-Shell Bash, die nun unter dem Namen "ShellShock" firmiert, wird bereits als der schlimmere Bruder von Heartbleed bezeichnet. Sicher ist, dass der am Mittwoch ausgelieferte Patch weitere Lücken enthält.*


----------



## Till (25. Sep. 2014)

Na super...


----------



## F4RR3LL (26. Sep. 2014)

Für Debian (und vermutlich auch die anderen OS) gibts n neues Update 
bash 4.2+dfsg-0.1+deb7u3
Das schließt nun hoffentlich die Lücken.

Gruß Sven


----------



## nowayback (26. Sep. 2014)

Paket sieht gut aus und sollte nun "sicher" sein.


----------



## bobbybackblech (26. Sep. 2014)

Hier ist auch noch einmal eine URL, wo man seine Seite direkt prüfen kann:
http://shellshock.brandonpotter.com/


----------



## nowayback (27. Sep. 2014)

> *Weitere Fehler nach RedHat-Analyse*
> Am Donnerstag wurde auf der Mailingliste OSS-Security von einem RedHat-Entwickler auf zwei weitere mögliche Fehler im Funktionsparser von Bash hingewiesen. Es handelt sich zum einen um einen fehlerhaften Array-Zugriff bei vielen Umleitungen, der unabhängig von Todd Sabin und von RedHat-Entwicklern entdeckt wurde. Dieser Fehler hat inzwischen die ID CVE-2014-7186.
> 
> Einen weiteren fehlerhaften Speicherzugriff gibt es bei der Verschachtelung von Schleifen. Dieser Fehler wurde ebenfalls von RedHat entdeckt und hat die IDCVE-2014-7187. Bislang ist unklar, ob sich diese Lücken ausnutzen lassen, es erscheint aber im Moment so, dass diese ebenso wie der von Tavis Ormandy entdeckte Bug nur ein vergleichsweise geringes Risiko darstellen.
> ...


Quelle: http://www.golem.de/news/shellshock-immer-mehr-luecken-in-bash-1409-109483.html


https://github.com/hannob/bashcheck

Wer sein System testen will, kann es ja mal damit versuchen


Wir haben firmenintern bash erstmal verbannt. Muss eben dash vorerst herhalten.


----------



## nowayback (28. Sep. 2014)

möglicherweise ist xenserver (basierend auf redhat) hier auch betroffen... wir stellen vermehrt angriffe darauf fest. genaue details kann ich derzeit nicht nennen, aber wer einen solchen server betreibt, möge bitte die augen offen halten.


----------



## Till (28. Sep. 2014)

Danke für den Hinweis! Die Bash steckt ja fast überall drin, auch an stellen wo man es nicht auf den ersten Blick vermutet.

Für alle die einen ISPConfig Server betreiben und keine CGI Scripte nutzen würde ich empfehlen mod_cgi zu deaktivieren. Für php (fcgi, fpm und auch das alte mod_php) braucht Ihr das nicht. Unter Debian und Ubuntu geht es so:

a2dismod cgi
/etc/init.d/apache2 restart


----------



## logifech (28. Sep. 2014)

Gibt es ne Möglichkeit von der BASh zur DASH zu wechseln, natürlich soll meien ISPConfig multi serve rinstallation weiterhin funktionieren?


----------



## Till (28. Sep. 2014)

Das müsste wahrscheinlich gehen. hab ich aber nicht getestet. Die Umstellung auf bash erfolgt vor allem weil sich einige Programme mit dash nicht kompilieren lassen.


----------



## logifech (28. Sep. 2014)

Achso, ok ich dneke Ich werd alles so lassen mit dem Update dürfte es wohl nicht mehr so eien schwere sicherheitslücke sein?


----------



## F4RR3LL (28. Sep. 2014)

Also nach den letzten updates und den noch vorhandenen Fehlern sollte man mal die Kirche im Dorf lassen. Der Einstiegsbug war krass, der ist behoben. Nun sind noch Fehler vorhanden, die zwar ausgemerzt gehören, für Ottonormal IRC Bot Betreiber keinen Wert haben. Von daher.... cool down 

Gruß Sven


----------



## nowayback (28. Sep. 2014)

so würde ich das nicht sehen. ein fehler soll noch aus der ferne ausnutzbar sein. von daher kann es nicht schaden vorsicht walten zu lassen


----------



## logifech (29. Sep. 2014)

Was würdet ihr den Vorschlagen lieber von der Bahn zur Dash wechseln oder bei der Bash bleiben und abwarten wie sich das Thema entwickelt?


----------



## F4RR3LL (29. Sep. 2014)

Ich schau mir die Entwicklung an. 
Für den letzten evtl remote nutzbaren Fehler gibts ja noch nicht so viel Input.

http://m.heise.de/newsticker/meldun...leme-bei-der-Bash-2404788.html?from-classic=1


----------



## nowayback (29. Sep. 2014)

Zitat von logifech:


> Was würdet ihr den Vorschlagen lieber von der Bahn zur Dash wechseln oder bei der Bash bleiben und abwarten wie sich das Thema entwickelt?


Wir haben in der Firma vorerst auf dash umgestellt, privat läuft bei mir noch bash, aber privat ist es ein kalkulierbares risiko für mich. Du wirst deine Entscheidung wohl auch für dich treffen müssen. Es gibt da kein Patentrezept. Wenn du bash weiter nutzen willst, dann schau das du den Patch von Weimer installieren kannst (http://www.openwall.com/lists/oss-security/2014/09/25/13)


----------



## bobbybackblech (30. Sep. 2014)

Bzgl. des Bugs - Kann ich hier praktisch einfach "apt-get update / upgrade" machen um den Bug zu beheben ? ( abgesehen von shell -> dash )


----------



## Till (30. Sep. 2014)

Ja, immer regelmäßig die OS Updates einspielen.


----------



## bobbybackblech (30. Sep. 2014)

Kann mir das irgendwas zerschiessen mit aktuellen Konfigurationen von nginx / php oder dergleichen ?

PS: Muss ich hier noch irgend etwas eingeben ?
Denn dort macht er nicht weiter


----------



## Till (30. Sep. 2014)

Drück die Taste "q", damit er weiter macht.


----------



## bobbybackblech (30. Sep. 2014)

Ah danke - Für mich: Warum muss man hier die Taste "q" drücken und was bezweckt diese ?


----------



## Till (30. Sep. 2014)

q steht für quit, also beenden. q kann in diversen Linux Programmen zum beenden eines interaktiven Modus eingesetzt werden und damit kannst Du auch die Anzeige der Hinweise in apt beenden.


----------



## bobbybackblech (30. Sep. 2014)

Ah okay.
Ich kannte so bisher nur "quit / exit oder ctrl+c zum abbrechen" 
Wieder was dazu gelernt, danke


----------



## nowayback (1. Okt. 2014)

Zitat von nowayback:


> möglicherweise ist xenserver (basierend auf redhat) hier auch betroffen... wir stellen vermehrt angriffe darauf fest. genaue details kann ich derzeit nicht nennen, aber wer einen solchen server betreibt, möge bitte die augen offen halten.


Hier warscheinlich der Grund für die von uns vermehrt festgestellten Angriffe:


> *Sicherheitslücke in Xen-Hypervisor betraf Cloud-Anbieter*


Quelle: http://www.heise.de/newsticker/meld...Hypervisor-betraf-Cloud-Anbieter-2409800.html


----------

