Die Hintergründe

Am 24.09.2014 wurde die Bedrohung allgemein bekanntgegeben: eine Sicherheitslücke in der beliebten Linux-Shell „Bash“ ermöglicht die Ausführung von Schadcode durch geschickte Platzierung in Umgebungsvariablen. Bei dem Start neuer Shells wird dieser Code dann sofort ausgeführt. Die meisten der üblichen Distributionen inklusive Mac OS seien gleichermaßen davon betroffen. Seither arbeiten die Anbieter der verschiedenen Distributionen mit Hochdruck an einem Patch für diese Sicherheitslücke. Mittlerweile sind einige Patches für jeden frei verfügbar.

Ist das eigene System auch von der Sicherheitslücke betroffen?

Mit der folgenden Eingabe auf der Shell konnte man ein veraltetes System dahingehend überprüfen, ob es von dieser Sicherheitslücke bedroht ist:

 
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
 

Wenn die Zeichenfolge “vulnerable” auf diese Anweisung hin erfolgte, lag eine Bedrohung des für das System vor und es bestand akuter Handlungsbedarf. Wer mittlerweile bereits Patches eingespielt hat, wird auf teilweise komplexere Verfahren zurückgreifen müssen, da weitere Lücken aufgetaucht sind.

Hilfreiches Flickwerkzeug

Wie kann man sich konkret gegen die Bedrohung zur Wehr setzen?

Grundsätzlich ist aus Sicherheitsgründen angeraten, das System regelmäßig über Patches gegen alle Bedrohungen abzusichern. Die Listen für die Quellen der Patches sind auf einem regelmäßig gewarteten System üblicherweise aktuell genug, so dass ein Download des Shell-Upgrades keine große Herausforderung darstellt.

Wir möchten diesen Vorgang jedoch gerne einmal beispielhaft aufzeigen. Zur Veranschaulichung verwenden wir hierbei auf einem Testsystem eine Ubuntu-Distribution (Ubuntu 14.04 LTS). Es wird ein generelles Update empfohlen, da auf diese Weise auch andere Sicherheitslücken gleich mit geschlossen werden. Es empfiehlt sich, vor jedem Update ein Backup anzulegen, um ungewollten Überraschungen entgegen zu wirken.

 
root@lvps:/# aptitude update; aptitude full-upgrade
 

Als Reaktion auf diese Anweisung sollte das System beginnen, mittels „aptitude“ ein umfangreiches Update einzuspielen. Dabei ist eine Sicherheitsabfrage zur Installation mit „Y“ zu bestätigen:

 
Get: 1 ftp://ftp.hosteurope.de trusty InRelease
Ign ftp://ftp.hosteurope.de trusty InRelease
Get: 2 ftp://ftp.hosteurope.de trusty-security InRelease
Ign ftp://ftp.hosteurope.de trusty-security InRelease
Get: 3 ftp://ftp.hosteurope.de trusty-updates InRelease
Ign ftp://ftp.hosteurope.de trusty-updates InRelease
Hit ftp://ftp.hosteurope.de trusty Release.gpg
Hit ftp://ftp.hosteurope.de trusty-security Release.gpg
Hit ftp://ftp.hosteurope.de trusty-updates Release.gpg
Hit ftp://ftp.hosteurope.de trusty Release
Hit ftp://ftp.hosteurope.de trusty-security Release
Hit ftp://ftp.hosteurope.de trusty-updates Release
Hit ftp://ftp.hosteurope.de trusty/main amd64 Packages
Hit ftp://ftp.hosteurope.de trusty/restricted amd64 Packages
Hit ftp://ftp.hosteurope.de trusty/multiverse amd64 Packages
Hit ftp://ftp.hosteurope.de trusty/universe amd64 Packages
Hit ftp://ftp.hosteurope.de trusty/main i386 Packages
Hit ftp://ftp.hosteurope.de trusty/restricted i386 Packages
 

[…]

 
Hit http://archive.ubuntu.com trusty-security/restricted amd64 Packages
Hit http://archive.ubuntu.com trusty-security/universe amd64 Packages
Hit http://archive.ubuntu.com trusty-security/multiverse amd64 Packages
Hit http://archive.ubuntu.com trusty-security/main i386 Packages
Hit http://archive.ubuntu.com trusty-security/restricted i386 Packages
Hit http://archive.ubuntu.com trusty-security/universe i386 Packages
Hit http://archive.ubuntu.com trusty-security/multiverse i386 Packages
Hit http://archive.ubuntu.com trusty-security/main Translation-en
Hit http://archive.ubuntu.com trusty-security/multiverse Translation-en
Hit http://archive.ubuntu.com trusty-security/restricted Translation-en
Hit http://archive.ubuntu.com trusty-security/universe Translation-en

The following packages will be upgraded:
Bash

1 package upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
Need to get 576 kB of archives. After unpacking 8192 B will be used.
Do you want to continue? [Y/n/?] Y
Get: 1 ftp://ftp.hosteurope.de/mirror/archive.ubuntu.com/ trusty-security/main bash amd64 4.3-7ubuntu1.4 [576 kB]
Fetched 576 kB in 0s (13.7 MB/s)
(Reading Database … 26444 files and directories currently installed.)
Preparing to unpack …/bash_4.3-7ubuntu1.4_amd64.deb …
Unpacking bash (4.3-7ubuntu1.4) over (4.3-7ubuntu1.3) …
Processing triggers for man-db (2.6.7.1-1) …
Processing triggers for install-info (5.2.0.dfsg.1-2) …
Setting up bash (4.3-7ubuntu1.4) …
update-alternatives: using /usr/share/man/man7/bash.builtins.7.gz to provide /usr/share/man/man7/bash.builtins.7.gz (builtins.7.gz) in auto mode

Current status: 0 updates [-1].
root@lvps:/#
 

Für CentOS basierte Systeme bietet sich analog zum „aptitude“-Befehl ein allgemeines Update mit Hilfe von „yum” (Yellow dog Updater, Modified) an.

Fazit

Das war’s auch schon. Wer Spektakuläreres erwartet hat, sei an dieser Stelle nicht enttäuscht. Immerhin ist das betroffene System nun gegen Angriffe abgesichert.

Mehr Informationen zur Sicherheitslücke und entsprechenden Patches können auf den nachfolgend verknüpften Websites nachgelesen werden:

Haben Sie Ihr System schon auf die Sicherheitslücke hin überprüft? Oder bereits selbst gepatcht? Ihr Feedback hilft uns, die Relevanz der Themen für unsere Kunden und Geschäftspartner zu ermitteln, neue Themen zielgerichtet zu recherchieren und entsprechend aufzubereiten. Dieser Beitrag entstand beispielsweise als Reaktion auf ein eingereichtes Feedback über unsere Social Media Kanäle. Vielen Dank für die wertvollen Anregungen auch an dieser Stelle. Hat Ihnen dieser Post gefallen und ggf. sogar weiter geholfen?

Dann zeigen Sie uns das doch über einen Klick auf den „Gefällt mir“-
Button oder einen kurzen Tweet inklusive der folgenden Hashtags:

#shellshock
#bashbleed
#hosteurope
#patch

Thomas von Mengden
Letzte Artikel von Thomas von Mengden (Alle anzeigen)

Große Auswahl an günstigen Domain-Endungen – schon ab 0,08 € /Monat
Jetzt Domain-Check starten