Weblog

door Bas onder NewsVPS / Server Management | 0 comments

‘Shellshock’ Kwetsbaarheid in Bash - Alle Linux systemen betrokken

Zoals u wellicht al heeft gelezen is gisteravond een kwetsbaarheid (vulnerability) bekendgemaakt in een pakket dat op vrijwel alle Linux-, Unix- en Mac OSX-systemen wordt gebruikt: Bash. Dit pakket is een zogeheten shell waarmee op het systeem ingelogde gebruikers commando’s kunnen uitvoeren.

Bash wordt daarnaast ook veel gebruikt voor andere taken zoals vooraf gedefinieerde (gescripte) opdrachten maar ook als ondersteuning bij andere pakketten zoals Cups, DHCP clients en in sommige gevallen als CGI-scriptingtaal.

Gisteravond is bekend geworden dat in specifieke situaties zogeheten omgevingsvariabelen op de verkeerde manier kunnen worden geïnterpreteerd en als commando kunnen worden uitgevoerd. Het gevolg hiervan is dat alle systemen waarop bash als omgeving wordt gebruikt in principe door kwaadwillenden kunnen worden misbruikt.

De mate waarin dit kan worden misbruikt hangt af van de wijze waarop bash wordt gebruikt. In praktijk betekent dit dat het overgrote deel van alle systemen niet bevattelijk is voor misbruik van buitenaf maar enkel voor misbruik van binnenuit. Slechts een klein deel van de systemen is ook direct vanaf buiten kwetsbaar.

Bescherming

Voor alle grote Linux-distributies (Red Hat, Debian, Ubuntu, Mint etc) zijn inmiddels updates beschikbaar via de gebruikelijke kanalen. Deze updates repareren de grootste lekken, maar vandaag is bekend geworden dat niet alle lekken hiermee worden gerepareerd. De resterende lekken zijn echter niet eenvoudig te misbruiken waardoor het advies om het operating systeem nu alvast te updaten blijft staan.

De definitieve update zal naar verwachting spoedig volgen en zal via de gebruikelijke kanalen worden aangeboden.

Voor installatie van de update op RPM-gebaseerde omgevingen is het commando:

yum update bash

Voor installatie van de update op Debian-gebaseerde omgevingen is het commando:

apt-get update && apt-get install bash

CloudVPS Acties

Gezien de grote risico’s die deze kwetsbaarheid met zich meebrengt heeft CloudVPS inmiddels zowel de eigen infrastructuur als de meeste klanten met een SLA2 of SLA3 voorzien van de update. Heeft u geen aanvullende SLA-overeenkomst? Dan kan CloudVPS uw server tegen een kleine vergoeding voorzien van de update. Stuurt u hiervoor dan een berichtje naar support@cloudvps.com.

More Information

Voor meer informatie over de incomplete update kunt u hier kijken:
http://tweakers.net/nieuws/98676/patch-voor-bash-beveiligingsprobleem-blijkt-onvoldoende.html

Voor meer technische achtergrond over dit probleem kunt u hier kijken:
https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environment-variables-code-injection-attack/
http://seclists.org/oss-sec/2014/q3/650

Technisch gezien komt de kwetsbaarheid hierop neer: Het betreft een kwetsbaarheid in Bash die optreedt wanneer een aanvaller de mogelijkheid heeft om een omgevingsvariabele te beïnvloeden. Dit is ondermeer het geval wanneer wordt ingelogd via SSH of wanneer Bash-scripts als CGI-script beschikbaar zijn voor de aanvaller. Bij inloggen via SSH geldt hierbovenop nog de beperking dat sprake moet zijn van een restricted environment zoals een shellscript dat een hele specifieke taak heeft.

Beide situaties zijn ongebruikelijk maar komen in praktijk wel voor.

Tags:

Comments (0)

Laat een reactie achter

Commenting is not available in this channel entry.
VPS Bestellen
VPS Bestellen