Ankündigung

Einklappen
Keine Ankündigung bisher.

Wiregate Updates zur Sicherheitslücke "Shellshock" in Bash - Teil 1

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    [Firmware] Wiregate Updates zur Sicherheitslücke "Shellshock" in Bash - Teil 1

    Aktuelle Informationen zur Sicherheitslücke in Bash, allgemein als "ShellShock" bezeichnet, hinsichtlich des WireGate 1 Multifunktionsgateway.


    Allgemeine Informationen zu "ShellShock":
    Bash ("Bourne Again SHell") ist ein Kommandozeileninterpreter der meisten Linux-Systeme und auch von Mac OS X bzw. kann (z.B. BSD) dort nachinstalliert werden, was durch viele Nutzer auch erfolgt.

    Bash ist über 25 Jahre alt und wird daher von sehr vielen Diensten und Systemen genutzt.

    Der Entwickler Stephane Chazelas hat nun in dieser Kommandozeilenumgebung eine sehr leicht ausnutzbare Lücke gefunden (CVE-2014-6271). In Umgebungsvariablen wird zunächst Code eingefügt, der beim Starten einer neuen Instanz der Shell dann ungeprüft ausgeführt wird.

    Diese Sicherheitslücken lassen sich insbesondere über Webserver mit CGI-Scripten ausführen, weil sich die Umgebungsvariablen zum Teil per Parametern in GET-Requests beschreiben lassen.

    Bei weiteren Untersuchungen hat Tavis Ormandy (Google) und unabhängig davon auch Todd Sabin herausgefunden, dass der erste Patch gegen die zunächst gefundene Lücke möglicherweise nicht ausreichend ist, weil auch Prefixes und Suffixes der Umgebungsvariablen ebenfalls geschützt werden sollten, da sonst auch hier eine Code-Injection möglich erscheint. Beschreibungen darüber gehen über Ausnutzung der Lücke über OpenSSH, DHCP-Clients und verschiedene Systemdienste bis hin zu Systemaufrufe aus Scriptsprachen sowie Ausnutzung über mod_cgi and mod_cgid modules im Apache HTTP Server. (CVE-2014-7169)

    Zur Zeit sind weitere Diskussionen und Untersuchungen über weitere mögliche Sicherheitslücken im Gange, die noch nicht vollständig veröffentlicht und gefixed sind.


    Ist das Wiregate 1 Multifunktionsgateway betroffen / verwundbar?
    • WireGate 1 Multifunktionsgateway vermutlich nicht betroffen: Nach bisherigen Untersuchungen und Überlegungen ist das WireGate 1 Multifunktionsgateway im Auslieferungszustand sehr wahrscheinlich nicht betroffen oder verwundbar. Zudem raten wir ohnehin nicht dazu, das WireGate 1 Multifunktionsgateway ohne Schutz in das Internet zu schalten (Ports für OpenVPN ausgenommen).

    • Comet Visu u.U. möglicherweise betroffen: Auch erste Untersuchungen bei der Comet Visu zeigen auf, dass hier Bash nur an einer Stelle (für Authentifizierung) genutzt werden könnte, jedoch diese Authentifizierung allgemein nicht aktiv ist. Eine Lücke konnte bei unseren ersten Tests nicht nachgewiesen werden.

    • Kundenerweiterungen könnten betroffen sein: Allerdings wird jedem Kunden auf Knopfdruck auf dem WireGate 1 Multifunktionsgateway der Root-Zugang freigeschaltet. Hierüber ist jedem Kunden jede beliebige Erweiterung möglich. Diese kann von uns nicht beurteilt werden.

    Insgesamt ist die Lage leicht unübersichtlich, daher haben wir uns zur Sicherheit entschlossen, einen Patch für Bash per offiziellem WireGate Update bereitzustellen.


    1. Update mit Patchlevel 37.2 bereitgestellt.

    Wir haben heute um 12:28 mit Patchlevel 37.2 ein Update von Bash für das WireGate 1 Multifunktionsgateway bereitgestellt.

    Es beinhaltet die Patches gegen die Sicherheitslücken mit den Nummern:

    Wir bitten alle Kunden, auf Ihrem Wiregate 1 Multifunktionsgateway den Update-Button zu drücken und Patchlevel 37.2 zu installieren !


    Warum 1. Update? Kommen noch weitere?

    Es werden derzeit drei weitere Lücken in Bash diskuttiert, von der wenigstens eine leicht ausnutzbar erscheint. Dafür sind noch keine Patches verfügbar. Wir beobachten die Situation und geben möglicherweise kurzfristig ein weiteres Update heraus.

    lg

    Stefan & Makki

    Stefan Werner, Geschäftsführer Elaborated Networks GmbH. Link zum Shop.
    Bitte keine PNs. Allg. Fragen ins Forum. Eilige od. wichtige an support ät wiregate.de
    Alle Informationen und Aussagen nach bestem Wissen und Gewissen. IMPRESSUM

    #2
    Ich möchte noch ein paar technische/philosophische Details - für interessierte - hinzufügen:
    Wir beobachten das natürlich seit es bekannt wurde (also lange bevor es auf Heise.de landete) und stimmen uns dazu ab.

    Problem: die Informations-Lage dazu(*) war&ist immernoch relativ "dünn" - und ändert sich noch dazu fast stündlich.
    Insofern wollte ich am Do/Fr keine Pferde scheu machen, wir sind als kleiner Anbieter immernoch unter den Top10 mit einem Patch/Fix. Immerhin vor Apple / OSX

    Die ganze Tragweite dieses "Problems" wird man in der Masse erst sehr viel später erkennen, wenn jedem klar wird, das fast alles davon betroffen ist.
    Windows-User (irgendwo läuft auch dort im Haus mindestens eine Bash!) können solange die MS-Bulletins lesen
    (aufm WireGate ist es mir selbst Ad-Hoc nicht gelungen das auszunutzen!)
    Trotzdem Kernaussage: Update ist bereitgestellt. Dringend installieren.
    Ich werkle bereits an den Nachfolgern.. Das liegt nicht daran, das wir planlos sind, sondern weil diese weiteren Lücken erst gestern/heute Nacht bekannt wurden..

    Makki
    EIB/KNX & WireGate & HS3, Russound,mpd,vdr,DM8000, DALI, DMX
    -> Bitte KEINE PNs!

    Kommentar


      #3
      makki, StefanW --

      Wird bei dem Patch nur die bash ersetzt oder ist da noch sonst was drin? Ich nutze den Logikprozessor.pl von Fry mit dem gepatchten wiregated, ich wollte mir den jetzt nicht zerschiessen...

      Kommentar


        #4
        Absolut nur die Bash.
        Probleme sind dadurch keine zu erwarten, ich hab das vorher 36h in allen (un)möglichen Konstellationen getestet..

        Makki
        EIB/KNX & WireGate & HS3, Russound,mpd,vdr,DM8000, DALI, DMX
        -> Bitte KEINE PNs!

        Kommentar


          #5
          Hi!

          Ich wollte gerade das Update installieren bekomme aber folgende Fehlermeldung:

          Code:
          Reading package lists...
          Building dependency tree...
          Reading state information...
          The following packages will be upgraded:
            bash
          The following packages will be DOWNGRADED:
            eibd-config-wg
          1 upgraded, 0 newly installed, 1 downgraded, 0 to remove and 0 not upgraded.
          Need to get 598kB of archives.
          After this operation, 131kB of additional disk space will be used.
          E: There are problems and -y was used without --force-yes
          Insbesondere wundere ich mich über das Downgrade von eibd-config-wg.

          Hat jemand eine Idee zur Fehlerbehebung?

          Grüße
          Tobias

          Kommentar


            #6
            Tobias,

            sehr strange, welches PL war/ist drauf? Damit ich das evtl. nachvollziehen kann..
            Im Zweifel mal bitte Wartungs-VPN & direkt per eMail/Telefon melden.

            Makki
            EIB/KNX & WireGate & HS3, Russound,mpd,vdr,DM8000, DALI, DMX
            -> Bitte KEINE PNs!

            Kommentar


              #7
              Hallo mein WG zeigt auch diesen Fehler.

              PL37.1, wiregate197

              Wartungsverbindung ist hergestellt.


              Gruß
              Christian

              Kommentar


                #8
                Ich hab' von 37 upgegradet, lief bei mir problemlos durch.

                Hier der relevante Auszug aus dem Log:

                Code:
                Log started: 2014-09-30  12:46:02
                (Reading database ... 56782 files and directories currently installed.)
                Preparing to replace bash 3.2-4 (using .../bash_3.2-4-1+nmu1_i386.deb) ...
                Unpacking replacement bash ...
                Processing triggers for man-db ...
                Setting up bash (3.2-4-1+nmu1) ...
                (Reading database ... 56782 files and directories currently installed.)
                Preparing to replace wg-patch 0.0.37-2 (using .../wg-patch_0.0.37-4_all.deb) ...
                Unpacking replacement wg-patch ...
                Setting up wg-patch (0.0.37-4) ...
                Stopping virtual private network daemon: server.
                Starting virtual private network daemon: server.
                Stopping daemon monitor: monit.
                Starting daemon monitor: monit.
                Log ended: 2014-09-30  12:46:28

                Kommentar


                  #9
                  Edit: Repository funktioniert wieder, Updates können weiter fortgesetzt werden.

                  Stefan Werner, Geschäftsführer Elaborated Networks GmbH. Link zum Shop.
                  Bitte keine PNs. Allg. Fragen ins Forum. Eilige od. wichtige an support ät wiregate.de
                  Alle Informationen und Aussagen nach bestem Wissen und Gewissen. IMPRESSUM

                  Kommentar


                    #10
                    Hallo ihr beiden!

                    Konnte nicht schneller, da ich gerade noch Besuch hatte.

                    Hier auch:
                    Patchlevel 37.1 (2014-06-04 11:53:02)

                    Habe auch die Wartungsverbindung hergestellt (wiregate539) vielleicht hilft es bei der Suche.

                    Als kleiner Nachtrag:

                    apt-cache policy eibd-config-wg
                    eibd-config-wg:
                    Installiert: 0.2-12
                    Kandidat: 0.2-12
                    Versions-Tabelle:
                    *** 0.2-12 0
                    1001 http://repo.wiregate.de wiregate-0.1/main Packages
                    100 /var/lib/dpkg/status
                    0.2-11 0
                    1001 http://repo.wiregate.de wiregate-0.1/main Packages
                    0.2-10 0
                    1001 http://repo.wiregate.de wiregate-0.1/main Packages
                    0.2-9 0
                    1001 http://repo.wiregate.de wiregate-0.1/main Packages
                    0.2-8 0
                    1001 http://repo.wiregate.de wiregate-0.1/main Packages
                    0.2-7 0
                    1001 http://repo.wiregate.de wiregate-0.1/main Packages
                    0.2-6 0
                    1001 http://repo.wiregate.de wiregate-0.1/main Packages
                    0.2-5 0
                    1001 http://repo.wiregate.de wiregate-0.1/main Packages
                    Gruß
                    Tobias

                    Kommentar


                      #11
                      Zur Info:
                      Ich habe am Montag vom 37.1 updated und hatte keine Probleme.
                      seit: 11'08 KNX / 04'09 HS3 / 12'09 WG mit 21 Temp & 4 Feuchtesensoren / 10'10 Enocean mit 15 Fenstergriffe Hoppe / 02'11 MBus2Serial Gas-Wasserzähler
                      HS3: 99% / VISU: PV 99%, iPad 99%
                      60 Akt. Linie1 / 14 Akt. Linie2

                      Kommentar


                        #12
                        Hallo Marcel, danke.

                        Unser Zugriffszähler zeigt uns auch ca. 100 Updates an, ohne dass es eine Beschwerde gegeben hätte. Wir haben gegen Mitternacht die Fehlersuche auch abgebrochen und setzen nachher fort.

                        lg

                        Stefan

                        Stefan Werner, Geschäftsführer Elaborated Networks GmbH. Link zum Shop.
                        Bitte keine PNs. Allg. Fragen ins Forum. Eilige od. wichtige an support ät wiregate.de
                        Alle Informationen und Aussagen nach bestem Wissen und Gewissen. IMPRESSUM

                        Kommentar


                          #13
                          Zitat von StefanW Beitrag anzeigen
                          @All: Das Repo ist derzeit abgeschaltet, weil zwei Kunden ein Problem hatten, das wir noch nicht erklären konnten.
                          Na - da sind es schon 3

                          Gruß
                          bernd

                          Kommentar


                            #14
                            [Wichtig]
                            Repository/Updates sollten ab sofort wieder gehen!
                            [/Wichtig]

                            Wenns noch Probleme bei jemandem gibt, bitte direkt bei mir melden.

                            Edit: gerne auch Feedback zu erfolgreichen Updates, das beruhigt ungemein..

                            Makki

                            P.S.: Wen es interessiert, das Problem hatte eigentlich garnichts mit diesem Update zu tun, sondern schlummerte schon länger - das Repository war das Problem, bisher jedoch ohne sichtbare/spürbare Auswirkungen.
                            dpkg/apt ist Fluch und Segen zugleich
                            EIB/KNX & WireGate & HS3, Russound,mpd,vdr,DM8000, DALI, DMX
                            -> Bitte KEINE PNs!

                            Kommentar


                              #15
                              bei mir hat es ohne probleme geklappt....

                              Kommentar

                              Lädt...
                              X