Aktuelle Informationen zur Sicherheitslücke in Bash, allgemein als "ShellShock" bezeichnet, hinsichtlich des WireGate 1 Multifunktionsgateway.
Allgemeine Informationen zu "ShellShock":
Bash ("Bourne Again SHell") ist ein Kommandozeileninterpreter der meisten Linux-Systeme und auch von Mac OS X bzw. kann (z.B. BSD) dort nachinstalliert werden, was durch viele Nutzer auch erfolgt.
Bash ist über 25 Jahre alt und wird daher von sehr vielen Diensten und Systemen genutzt.
Der Entwickler Stephane Chazelas hat nun in dieser Kommandozeilenumgebung eine sehr leicht ausnutzbare Lücke gefunden (CVE-2014-6271). In Umgebungsvariablen wird zunächst Code eingefügt, der beim Starten einer neuen Instanz der Shell dann ungeprüft ausgeführt wird.
Diese Sicherheitslücken lassen sich insbesondere über Webserver mit CGI-Scripten ausführen, weil sich die Umgebungsvariablen zum Teil per Parametern in GET-Requests beschreiben lassen.
Bei weiteren Untersuchungen hat Tavis Ormandy (Google) und unabhängig davon auch Todd Sabin herausgefunden, dass der erste Patch gegen die zunächst gefundene Lücke möglicherweise nicht ausreichend ist, weil auch Prefixes und Suffixes der Umgebungsvariablen ebenfalls geschützt werden sollten, da sonst auch hier eine Code-Injection möglich erscheint. Beschreibungen darüber gehen über Ausnutzung der Lücke über OpenSSH, DHCP-Clients und verschiedene Systemdienste bis hin zu Systemaufrufe aus Scriptsprachen sowie Ausnutzung über mod_cgi and mod_cgid modules im Apache HTTP Server. (CVE-2014-7169)
Zur Zeit sind weitere Diskussionen und Untersuchungen über weitere mögliche Sicherheitslücken im Gange, die noch nicht vollständig veröffentlicht und gefixed sind.
Ist das Wiregate 1 Multifunktionsgateway betroffen / verwundbar?
Insgesamt ist die Lage leicht unübersichtlich, daher haben wir uns zur Sicherheit entschlossen, einen Patch für Bash per offiziellem WireGate Update bereitzustellen.
1. Update mit Patchlevel 37.2 bereitgestellt.
Wir haben heute um 12:28 mit Patchlevel 37.2 ein Update von Bash für das WireGate 1 Multifunktionsgateway bereitgestellt.
Es beinhaltet die Patches gegen die Sicherheitslücken mit den Nummern:
Wir bitten alle Kunden, auf Ihrem Wiregate 1 Multifunktionsgateway den Update-Button zu drücken und Patchlevel 37.2 zu installieren !
Warum 1. Update? Kommen noch weitere?
Es werden derzeit drei weitere Lücken in Bash diskuttiert, von der wenigstens eine leicht ausnutzbar erscheint. Dafür sind noch keine Patches verfügbar. Wir beobachten die Situation und geben möglicherweise kurzfristig ein weiteres Update heraus.
lg
Stefan & Makki
Allgemeine Informationen zu "ShellShock":
Bash ("Bourne Again SHell") ist ein Kommandozeileninterpreter der meisten Linux-Systeme und auch von Mac OS X bzw. kann (z.B. BSD) dort nachinstalliert werden, was durch viele Nutzer auch erfolgt.
Bash ist über 25 Jahre alt und wird daher von sehr vielen Diensten und Systemen genutzt.
Der Entwickler Stephane Chazelas hat nun in dieser Kommandozeilenumgebung eine sehr leicht ausnutzbare Lücke gefunden (CVE-2014-6271). In Umgebungsvariablen wird zunächst Code eingefügt, der beim Starten einer neuen Instanz der Shell dann ungeprüft ausgeführt wird.
Diese Sicherheitslücken lassen sich insbesondere über Webserver mit CGI-Scripten ausführen, weil sich die Umgebungsvariablen zum Teil per Parametern in GET-Requests beschreiben lassen.
Bei weiteren Untersuchungen hat Tavis Ormandy (Google) und unabhängig davon auch Todd Sabin herausgefunden, dass der erste Patch gegen die zunächst gefundene Lücke möglicherweise nicht ausreichend ist, weil auch Prefixes und Suffixes der Umgebungsvariablen ebenfalls geschützt werden sollten, da sonst auch hier eine Code-Injection möglich erscheint. Beschreibungen darüber gehen über Ausnutzung der Lücke über OpenSSH, DHCP-Clients und verschiedene Systemdienste bis hin zu Systemaufrufe aus Scriptsprachen sowie Ausnutzung über mod_cgi and mod_cgid modules im Apache HTTP Server. (CVE-2014-7169)
Zur Zeit sind weitere Diskussionen und Untersuchungen über weitere mögliche Sicherheitslücken im Gange, die noch nicht vollständig veröffentlicht und gefixed sind.
Ist das Wiregate 1 Multifunktionsgateway betroffen / verwundbar?
- WireGate 1 Multifunktionsgateway vermutlich nicht betroffen: Nach bisherigen Untersuchungen und Überlegungen ist das WireGate 1 Multifunktionsgateway im Auslieferungszustand sehr wahrscheinlich nicht betroffen oder verwundbar. Zudem raten wir ohnehin nicht dazu, das WireGate 1 Multifunktionsgateway ohne Schutz in das Internet zu schalten (Ports für OpenVPN ausgenommen).
- Comet Visu u.U. möglicherweise betroffen: Auch erste Untersuchungen bei der Comet Visu zeigen auf, dass hier Bash nur an einer Stelle (für Authentifizierung) genutzt werden könnte, jedoch diese Authentifizierung allgemein nicht aktiv ist. Eine Lücke konnte bei unseren ersten Tests nicht nachgewiesen werden.
- Kundenerweiterungen könnten betroffen sein: Allerdings wird jedem Kunden auf Knopfdruck auf dem WireGate 1 Multifunktionsgateway der Root-Zugang freigeschaltet. Hierüber ist jedem Kunden jede beliebige Erweiterung möglich. Diese kann von uns nicht beurteilt werden.
Insgesamt ist die Lage leicht unübersichtlich, daher haben wir uns zur Sicherheit entschlossen, einen Patch für Bash per offiziellem WireGate Update bereitzustellen.
1. Update mit Patchlevel 37.2 bereitgestellt.
Wir haben heute um 12:28 mit Patchlevel 37.2 ein Update von Bash für das WireGate 1 Multifunktionsgateway bereitgestellt.
Es beinhaltet die Patches gegen die Sicherheitslücken mit den Nummern:
Wir bitten alle Kunden, auf Ihrem Wiregate 1 Multifunktionsgateway den Update-Button zu drücken und Patchlevel 37.2 zu installieren !
Warum 1. Update? Kommen noch weitere?
Es werden derzeit drei weitere Lücken in Bash diskuttiert, von der wenigstens eine leicht ausnutzbar erscheint. Dafür sind noch keine Patches verfügbar. Wir beobachten die Situation und geben möglicherweise kurzfristig ein weiteres Update heraus.
lg
Stefan & Makki
Kommentar