SHELLSHOCK: Schwere Sicherheitslücke in OS X - was tun?

[Olivetti]

Yes, bin Editeur von Beruf -> schau noch mal in #59.

Welche OSX Version hast du denn?

 

[walfrieda]

Für "übergeordnet" haben wir ja mittlerweile die Tech-Bar.

Eine der wenigen wirklich guten Veränderungen der letzten Zeit.

...

Also würde ich nicht sagen "selbst schuld". Vielleicht fehlt auch ein Stück weit ein gezieltes Feedback wie es komfortabler wäre.

Jaja, da gibts dann noch das Forum "Feedback" - die Verschiebung von Verbesserungsvorschlägen dorthin ist etwa wie das Kopieren nach dev/null. Effektiver kann man eine Diskussion kaum unterdrücken, als sie dorthin zu verschieben wo nie einer guckt...

Mir fallen da gefühlte 10 Ansätze ein.

mir auch, aber die Lust an so etwas mitzuarbeiten ist weit unter Null, weil ich weiß wie's ausgeht: nix passiert.

Ich denke, dass die Chefetage für jeden Hinweis dankbar ist, wie das Forum übersichtlicher für die User wird.

den Eindruck hatte ich bisher nicht, sorry.

Worauf ich hinaus wollte, war aber was anderes. ... Ich habe eher das Gefühl, dass viel zu oft gar kein tieferes Interesse an der Community oder am Thema besteht und nur abgerufen wird. Finde ich persönlich etwas schade.

ja, das ist blöd.

 

[MacMo]

Sofern du niemanden an deinen Rechner lässt und keinen Webserver betreibst und keinen SSH Remotezugriff aktiviert hast, ist es nicht möglich.

Ich würde hier gerne noch einmal klarstellen, dass das so nicht der Fall ist.

Als Privatnutzer kann ich auch davon betreffen sein, falls ich mich mit einem fremden (W)LAN verbinde. Ein User hat gute Beispiele wie Flughafen oder Hotel erwähnt.
Angenommen die Netzwerke sind komprimiert und die DHCP Server in den Netzwerken so konfiguriert, dass eine Bash aufgerufen wird, die den Bug ausnutzen, können beliebige Befehle auf deinem Computer ausgeführt werden, sobald ein DHCP Lease angefordert wird und eine IP Adresse zugeteilt wird.

Das mag sicherlich nicht sehr wahrscheinlich wirken, aber zu sagen, man sei nur betroffen, wenn man einen Webserver oder Remotezugriff erlaubt, halte ich für kurzsichtig. Wichtig ist, die Nutzer darüber aufzuklären und ein Bewusstsein dafür zu schaffen.

In den Logs meines Servers habe ich ebenfalls sehen können, dass ein Testangriff durchgeführt worden ist. Recht interessant. Unter Debian ist die Lücke aber ja bereits geschlossen. Heise.de meldet, dass die Angriff auf die Lücke sich häufen.

 

[walfrieda]

Ich würde hier gerne noch einmal klarstellen, dass das so nicht der Fall ist.

Als Privatnutzer kann ich auch davon betreffen sein, falls ich mich mit einem fremden (W)LAN verbinde. Ein User hat gute Beispiele wie Flughafen oder Hotel erwähnt.
Angenommen die Netzwerke sind komprimiert und die DHCP Server in den Netzwerken so konfiguriert, dass eine Bash aufgerufen wird, die den Bug ausnutzen, können beliebige Befehle auf deinem Computer ausgeführt werden, sobald ein DHCP Lease angefordert wird und eine IP Adresse zugeteilt wird.

Zumindest nicht auf einem Mac, denn der benutzt nicht die Bash beim Zuteilen des DHCP-Lease.

 

[MacMo]

Danke für den Hinweis, walfrieda.

 

[Pingu]

Als Privatnutzer kann ich auch davon betreffen sein, falls ich mich mit einem fremden (W)LAN verbinde. Ein User hat gute Beispiele wie Flughafen oder Hotel erwähnt.
Angenommen die Netzwerke sind komprimiert und die DHCP Server in den Netzwerken so konfiguriert, dass eine Bash aufgerufen wird, die den Bug ausnutzen, können beliebige Befehle auf deinem Computer ausgeführt werden, sobald ein DHCP Lease angefordert wird und eine IP Adresse zugeteilt wird.

Falsch. Das habe ich heute selber in meinem Firmennetzwerk ausprobiert. Dem ist nicht so. Das wäre nur der Fall, wenn Du Client-Scripts eingebunden hättest. Da dies kein normaler Benutzer hat, ist es auch kein Problem.

 

[Saugkraft]

In den Logs meines Servers...

Walfrieda hat es ja bereits erklärt.

 

[Madcat]

Falsch. Das habe ich heute selber in meinem Firmennetzwerk ausprobiert. Dem ist nicht so. Das wäre nur der Fall, wenn Du Client-Scripts eingebunden hättest. Da dies kein normaler Benutzer hat, ist es auch kein Problem.

Richtig. Man muss schon ein Script haben, dass den vermeintlichen Bug (ist in meinen Augen nicht mal einer, die Bash macht ja nur was ihr gesagt wurde) auch wirklich ausnutzt. Daher ist das für mich auch keine Sicherheitslücke, bzw. wenn das eine Sicherheitslücke ist dann ist jedes Programm eine Sicherheitslücke denn ich muss ja als Hacker dann nur den User dazu bringen mein Programm/Script laufen zu lassen und yeah, Rechner gehackt.

 

[walfrieda]

... den vermeintlichen Bug (ist in meinen Augen nicht mal einer, die Bash macht ja nur was ihr gesagt wurde)...

nein, das stimmt nicht. Was die Bash da (falscherweise) macht, ist etwa das gleiche wie wenn eine Programmiersprache plötzlich die Auszeichnung von Kommentaren "überliest" und statt dessen die Kommentare ausführt. Das ist ein ein ganz fieser Fehler - und ich wundere mich warum das in der Bash erst nach 20+x Jahren entdeckt wurde. Offensichtlich nutzt jeder die Bash nur, kümmert sich aber nicht darum wie sie funktioniert. Ist ja irgendwo verständlich, ich muß bei einem Werkzeug ja auch nicht wissen wie es hergestellt wurde und was es intern macht. Mir wird nur Angst wenn ich daran denke, wie viele Befehle in der Bash (und anderen Shells) alltäglich verwendet werden, wo man sich einfach drauf verlässt daß sie bugfrei funktionieren. Klar, welcher Programmierer schaut sich schon genauer an, wie ein "ls" oder ein "echo" implementiert ist - das erscheint ja auch total dröge. Aber so werden halt auch die Bugs durch die Jahrzehnte geschleppt...

 

[falkgottschalk]

Um mit dem "Bug" etwas anfangen zu können, muss "der Böse" erst einmal sein Coding

a) auf meinen Mac bekommen (bin gespannt wie er das machen will) und dann einen Weg finden, wie er es bei mir lokal ausführen will.

b.1) Irgend ein Script auf den Server bekommen, an dem sich mein Router anmeldet (DHCP) und

b.2) muss dann das Script dazu bekommen, auf meinem Mac zu laufen


Für mich nach wie vor tendenziell eher Theorie als realistisch.

"Wenn ich eine Atombombe auf meinem Küchentisch habe, kann ich die auch zünden". Klar, aber ich muss erst mal eine haben...

 

[Kaito]

Würde die Analogie hier anders sehen: du hast eine Atombombe auf deinem Küchentisch, aber der Zündknopf ist unter einer Schutzabdeckung.
Und niemand will Atombomben auf seinem Küchentisch, selbst wenn du nicht so einfach auf den Auslöser kommst.

 

[Lor-Olli]

Der Vergleich mit der Atombombe hinkt! Die Gtundvoraussetzungen zum Bau einer Atombombe sind neben der Kenntnis die komplexe Beschaffung der Ausgangsmaterialien und Werkzeuge - in der Bash liegt alles vor, man benötigt also reichen Programierkenntnisse.

Der einzelne Rechner ist "sicher" - wenn der Besitzer ihn sicher macht (allein nutzen / kontrollieren, scripte untersagen, Einstellungen sicher machen etc.), ABER wie viele Lücken gibt es nicht nur in der bash sondern unter den Nutzern, auch unter den Webserver Betreibern noch mehr "Lücken". Das Problem ist ja nicht nur "mein" Rechner - wer sitzt denn heute noch an einem nichtvernetzten Rechner - sondern die Interaktion, die ich eben nicht immer und überall kontroliiere…

 

[DrKloebner]

Ich würde hier gerne noch einmal klarstellen, dass das so nicht der Fall ist.

Als Privatnutzer kann ich auch davon betreffen sein, falls ich mich mit einem fremden (W)LAN verbinde. Ein User hat gute Beispiele wie Flughafen oder Hotel erwähnt.
Angenommen die Netzwerke sind komprimiert und die DHCP Server in den Netzwerken so konfiguriert, dass eine Bash aufgerufen wird, die den Bug ausnutzen, können beliebige Befehle auf deinem Computer ausgeführt werden, sobald ein DHCP Lease angefordert wird und eine IP Adresse zugeteilt wird.

Wird denn für problematische "beliebige Befehle" nicht das Kennwort abgefragt? Ich meine, OSX fragt doch wirklich oft ein Kennwort ab bei kritischen Aktionen, über die man lieber nocheinmal nachdenken sollte.

 

[Olivetti]

Es wurden weitere Lücken gefunden.

Man sollte evtl. ältere, von aussen erreichbare Webserver (älter ≈ welche mit cgi-bin/fcgi laufen /Stichwort: system call)
abschalten oder von aussen unerreichbar machen und den SSH-Zugang »Entfernte Anmeldung« deaktivieren,
solange Apple keinen Fix liefert. Eine Angriffswelle die einen Trojaner einschleusen will, läuft schon.
-
Der Bug scheint nicht seit 25 Jahren durchgängig in der bash enthalten zu sein, zwischenzeitlich wurde er gefixt, hat sich dann aber wieder »eingeschlichen«.

 

[falkgottschalk]

Der Vergleich mit der Atombombe hinkt! Die Gtundvoraussetzungen zum Bau einer Atombombe sind neben der Kenntnis die komplexe Beschaffung der Ausgangsmaterialien und Werkzeuge - in der Bash liegt alles vor, man benötigt also reichen Programierkenntnisse.

Der einzelne Rechner ist "sicher" - wenn der Besitzer ihn sicher macht (allein nutzen / kontrollieren, scripte untersagen, Einstellungen sicher machen etc.), ABER wie viele Lücken gibt es nicht nur in der bash sondern unter den Nutzern, auch unter den Webserver Betreibern noch mehr "Lücken". Das Problem ist ja nicht nur "mein" Rechner - wer sitzt denn heute noch an einem nichtvernetzten Rechner - sondern die Interaktion, die ich eben nicht immer und überall kontroliiere…

Da hinkt gar nichts.

WENN ich eine funktionierende Atombombe habe, DANN kann ich sie zünden.

WENN jemand ein bösartiges Script auf meinen Rechner bekommt, DANN kann er was böses anstellen.

Ich habe keine Atombombe und so schnell bekommt keiner ein bösartiges Script auf meinen Rechner. So what?

 

[walfrieda]

Da hinkt gar nichts.

WENN ich eine funktionierende Atombombe habe, DANN kann ich sie zünden.

WENN jemand ein bösartiges Script auf meinen Rechner bekommt, DANN kann er was böses anstellen.

Ich habe keine Atombombe und so schnell bekommt keiner ein bösartiges Script auf meinen Rechner. So what?

Es ist ja auch eher andersrum. Du hast schon mal den Zündknopf (bash), jetzt fehlt dir "nur noch" die Atombombe (das bösartige Script auf deinem Rechner).

 

[pmau]

Du brauchst nur ein CGI Script auf dem Server in dem oben

#!/bin/bash

steht. Leider reicht das. Ich hatte das Vergnügen am Freitag.
Es dauert leider keine 2 Minuten um echt böse Exploits damit zu schreiben.

Ich dachte auch erst, dass das ganze übertrieben ist, aber ich habe es mir angeschaut.

http://security.stackexchange.com/q...ow-the-shellshock-bash-bug-could-be-exploited

Das hier reicht.

 

[tocotronaut]

Nur sehr wenige OSX Nutzer sind überhaupt angreifbar: http://www.zdnet.de/88206884/apple-mehrheit-der-mac-nutzer-ist-von-bash-luecke-nicht-betroffen/

 

[falkgottschalk]

Du brauchst nur ein CGI Script auf dem Server in dem oben

#!/bin/bash

steht. Leider reicht das. Ich hatte das Vergnügen am Freitag.

Und wie kommt das auf den Server?

 

[pmau]

Und wie kommt das auf den Server?

Selbst manche Perl, Ruby oder andere serverseitigen Komponenten benutzen FCGI und kleine Shell-Wrapper um sich zu starten.
Es ist nicht ungewöhnlich, das man so etwas findet:

#!/bin/sh
ROOT=`dirname $0`
exec ruby -I /var/ruby/1.8/gem_home/gems/fcgi-0.8.7/lib/ $ROOT/myfcgi.rb

Gefunden hier:

https://blogs.oracle.com/trawick/entry/running_a_simple_ruby_fastcgi

Benutzt man so etwas, hat man bereits verloren.
Du magst das jetzt einfach abtun und sagen

"Das gibt es alles bei mir nicht!"

Da wäre ich allerdings vorsichtig. Gerade fertige Umgebungen für Mac OSX können so etwas enthalten ohne das Du davon unbedingt etwas weisst.
Zieh so etwas nicht ins lächerliche. Es gibt genug Leute mit MAMP, oder wie das Zeug heisst.

Die wollen zu Hause ihre Cloud und fangen sich sowas ein.

Hab ich hier schon oft gelesen. Ist ja auch gut dass Leute Interesse haben.
Man muss aber darauf hinweisen.