Die Hintergründe

Am 24.09.2014 wurde die Bedrohung allgemein bekanntgegeben: eine Sicherheitslücke in der beliebten Linux-Shell „Bash“ ermöglicht die Ausführung von Schadcode durch geschickte Platzierung in Umgebungsvariablen. Bei dem Start neuer Shells wird dieser Code dann sofort ausgeführt. Die meisten der üblichen Distributionen inklusive Mac OS seien gleichermaßen davon betroffen. Seither arbeiten die Anbieter der verschiedenen Distributionen mit Hochdruck an einem Patch für diese Sicherheitslücke. Mittlerweile sind einige Patches für jeden frei verfügbar.

Ist das eigene System auch von der Sicherheitslücke betroffen?

Mit der folgenden Eingabe auf der Shell konnte man ein veraltetes System dahingehend überprüfen, ob es von dieser Sicherheitslücke bedroht ist:

 
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
 

Wenn die Zeichenfolge “vulnerable” auf diese Anweisung hin erfolgte, lag eine Bedrohung des für das System vor und es bestand akuter Handlungsbedarf. Wer mittlerweile bereits Patches eingespielt hat, wird auf teilweise komplexere Verfahren zurückgreifen müssen, da weitere Lücken aufgetaucht sind.

Hilfreiches Flickwerkzeug

Wie kann man sich konkret gegen die Bedrohung zur Wehr setzen?

Grundsätzlich ist aus Sicherheitsgründen angeraten, das System regelmäßig über Patches gegen alle Bedrohungen abzusichern. Die Listen für die Quellen der Patches sind auf einem regelmäßig gewarteten System üblicherweise aktuell genug, so dass ein Download des Shell-Upgrades keine große Herausforderung darstellt.

Wir möchten diesen Vorgang jedoch gerne einmal beispielhaft aufzeigen. Zur Veranschaulichung verwenden wir hierbei auf einem Testsystem eine Ubuntu-Distribution (Ubuntu 14.04 LTS). Es wird ein generelles Update empfohlen, da auf diese Weise auch andere Sicherheitslücken gleich mit geschlossen werden. Es empfiehlt sich, vor jedem Update ein Backup anzulegen, um ungewollten Überraschungen entgegen zu wirken.

 
root@lvps:/# aptitude update; aptitude full-upgrade
 

Als Reaktion auf diese Anweisung sollte das System beginnen, mittels „aptitude“ ein umfangreiches Update einzuspielen. Dabei ist eine Sicherheitsabfrage zur Installation mit „Y“ zu bestätigen:

 
Get: 1 ftp://ftp.hosteurope.de trusty InRelease
Ign ftp://ftp.hosteurope.de trusty InRelease
Get: 2 ftp://ftp.hosteurope.de trusty-security InRelease
Ign ftp://ftp.hosteurope.de trusty-security InRelease
Get: 3 ftp://ftp.hosteurope.de trusty-updates InRelease
Ign ftp://ftp.hosteurope.de trusty-updates InRelease
Hit ftp://ftp.hosteurope.de trusty Release.gpg
Hit ftp://ftp.hosteurope.de trusty-security Release.gpg
Hit ftp://ftp.hosteurope.de trusty-updates Release.gpg
Hit ftp://ftp.hosteurope.de trusty Release
Hit ftp://ftp.hosteurope.de trusty-security Release
Hit ftp://ftp.hosteurope.de trusty-updates Release
Hit ftp://ftp.hosteurope.de trusty/main amd64 Packages
Hit ftp://ftp.hosteurope.de trusty/restricted amd64 Packages
Hit ftp://ftp.hosteurope.de trusty/multiverse amd64 Packages
Hit ftp://ftp.hosteurope.de trusty/universe amd64 Packages
Hit ftp://ftp.hosteurope.de trusty/main i386 Packages
Hit ftp://ftp.hosteurope.de trusty/restricted i386 Packages
 

[…]

 
Hit http://archive.ubuntu.com trusty-security/restricted amd64 Packages
Hit http://archive.ubuntu.com trusty-security/universe amd64 Packages
Hit http://archive.ubuntu.com trusty-security/multiverse amd64 Packages
Hit http://archive.ubuntu.com trusty-security/main i386 Packages
Hit http://archive.ubuntu.com trusty-security/restricted i386 Packages
Hit http://archive.ubuntu.com trusty-security/universe i386 Packages
Hit http://archive.ubuntu.com trusty-security/multiverse i386 Packages
Hit http://archive.ubuntu.com trusty-security/main Translation-en
Hit http://archive.ubuntu.com trusty-security/multiverse Translation-en
Hit http://archive.ubuntu.com trusty-security/restricted Translation-en
Hit http://archive.ubuntu.com trusty-security/universe Translation-en

The following packages will be upgraded:
Bash

1 package upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
Need to get 576 kB of archives. After unpacking 8192 B will be used.
Do you want to continue? [Y/n/?] Y
Get: 1 ftp://ftp.hosteurope.de/mirror/archive.ubuntu.com/ trusty-security/main bash amd64 4.3-7ubuntu1.4 [576 kB]
Fetched 576 kB in 0s (13.7 MB/s)
(Reading Database … 26444 files and directories currently installed.)
Preparing to unpack …/bash_4.3-7ubuntu1.4_amd64.deb …
Unpacking bash (4.3-7ubuntu1.4) over (4.3-7ubuntu1.3) …
Processing triggers for man-db (2.6.7.1-1) …
Processing triggers for install-info (5.2.0.dfsg.1-2) …
Setting up bash (4.3-7ubuntu1.4) …
update-alternatives: using /usr/share/man/man7/bash.builtins.7.gz to provide /usr/share/man/man7/bash.builtins.7.gz (builtins.7.gz) in auto mode

Current status: 0 updates [-1].
root@lvps:/#
 

Für CentOS basierte Systeme bietet sich analog zum „aptitude“-Befehl ein allgemeines Update mit Hilfe von „yum” (Yellow dog Updater, Modified) an.

Fazit

Das war’s auch schon. Wer Spektakuläreres erwartet hat, sei an dieser Stelle nicht enttäuscht. Immerhin ist das betroffene System nun gegen Angriffe abgesichert.

Mehr Informationen zur Sicherheitslücke und entsprechenden Patches können auf den nachfolgend verknüpften Websites nachgelesen werden:

Haben Sie Ihr System schon auf die Sicherheitslücke hin überprüft? Oder bereits selbst gepatcht? Ihr Feedback hilft uns, die Relevanz der Themen für unsere Kunden und Geschäftspartner zu ermitteln, neue Themen zielgerichtet zu recherchieren und entsprechend aufzubereiten. Dieser Beitrag entstand beispielsweise als Reaktion auf ein eingereichtes Feedback über unsere Social Media Kanäle. Vielen Dank für die wertvollen Anregungen auch an dieser Stelle. Hat Ihnen dieser Post gefallen und ggf. sogar weiter geholfen?

Dann zeigen Sie uns das doch über einen Klick auf den „Gefällt mir“-
Button oder einen kurzen Tweet inklusive der folgenden Hashtags:

#shellshock
#bashbleed
#hosteurope
#patch

Thomas von Mengden

Social Media Manager & PR Comms bei Host Europe GmbH
Thomas von Mengden ist als Redakteur und Autor des Blog & SEO-Teams für die Host Europe GmbH tätig, einem der größten Anbieter von Domain- und Webhosting in Europa. Privat interessiert sich Thomas vor allem für alle Art technischer Gadgets, Web-Entwicklung, SEO und Sport.

Letzte Artikel von Thomas von Mengden (Alle anzeigen)

5 thoughts on “Wie man sicher gegen Bashbleed / Shellshock vorgeht

  1. Das hier genannte bezieht sich ausschließlich auf CVE-2014-6271. Shellshock besteht mittlerweile aus mindestens aus drei weiteren vulnerabilities (CVE-2014-7169, CVE-2014-7186, CVE-2014-7187).

    Ein aptitude full-upgrade würde ich euren Kunden nicht empfehlen. Im schlimmsten fall führt dies zum Upgrade auf das nächste Major Release von Ubuntu/Debian, was bei euren VPS Produkten unter Virtuozzo zu einem umbrauchbarem System führen würde.
    Sinnvoller wäre daher: apt-get update; apt-get install –only-upgrade bash

  2. Hallo „M“,
    vielen Dank für die absolut wertvollen Informationen.
    Um lediglich das Bash-Update durchzuführen, ist Dein genannter Weg absolut korrekt.

    Das CentOS-Pendant hierzu lautet:
    yum -y update bash

    In der Regel sind unveränderte Installationsquellen-Angaben derart gestaltet, dass ein Upgrade auf ein Major-Release der Distribution durch das ursprünglich genannte Update nicht vorgesehen ist. Sind diese Quellangaben angepasst worden, ist evtl. ein Risiko gegeben, dass ein Upgrade durchgeführt wird. Wer also in Bezug auf das Bash-Update auf Nummer sicher gehen möchte, kann selbstverständlich das Einzel-Update vornehmen.
    Grundsätzlich empfehlen wir natürlich, die Systeme so aktuell wie möglich zu halten, um dadurch möglichst viele Sicherheitslücken zu schließen. In bezug auf die Virtual Server bieten wir grundsätzlich auch Ubuntu 14.04 LTS an, dann allerdings ohne Plesk, da hier die Kompatibilität bislang nicht vollständig garantiert ist. Hierzu gibt es auch einen FAQ-Artikel, den ich in diesem Zusammenhang gerne empfehlen möchte: http://faq.hosteurope.de/index.php?cpid=14109

    Wir sind ab und an auch auf das Feeback von Kunden angewiesen, um eine Situation möglichst optimal aus allen Perspektiven zu beleuchten. Dein Kommentar hat gezeigt, dass man im direkten Dialog üblicherweise sehr gut weiter kommt. Vielen Dank dafür!

  3. Toll, dass ihr meine Anregung zu einem Blogartikel so schnell umgesetzt habt. Aber leider wurde der Bash-Befehl zum prüfen aus Verwundbarkeit „zerschossen“. Die Anführungsstriche müssen hier gewöhnliche Single/Double-Quotes sein und keine deutschen Anführungsstriche.

    Dies geschieht bei WordPress automatisch bei der Ausgabe. Um das zu verhindern, einfach den Befehl über den „Text-Modus“ mit einem „code“ HTML-Tag umgeben.

  4. Hallo Bernhard,
    Du hast natürlich Recht, die Quotes wurden fälschlicherweise als Fließtext interpretiert. Sehr aufmerksam, vielen Dank für den Hinweis! Der Artikel wurde entsprechend angepasst!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.