01.10.2014 14:53

Gedanken nach meinem shellshock

Zum Thema Shellshock ist mir heute nach diesem Artikel wiederholt richtig klar geworden, dass das ganze dieses mal nicht so einfach ist wie Heartbleed - die Diversität mit der sich bash bugs (bzw. shell mis-interpretationen) verstecken ist interessant!

Nach lesen des Artikels kann man sich jetzt fragen, ob auch OpenVPN betroffen ist und alle VPNs der Welt unsicher sind. Aber das dürfte hier nicht so trivial und häufig ausnutzbar sein wie beim ersten bash-bug.

Zitat aus dem Artikel:

"Gert Doering, speaking on behalf of the OpenVPN open source community version, said that OpenVPN is vulnerable only on systems where /bin/sh points to /bin/bash, or if a script that runs using bash as an interpreter is called explicity."

Sprich: da muss man schon üblicherweise ein shell script bei OpenVPN angeben und dann noch explizit die bash als Interpreter angeben (und weiters geht's auch nicht, wenn man client certificates verwendet). Aber egal... das ändert nichts an der Diversität , mit der sich der bash-bug in Software zeigt. Es ist vielmehr ein schönes Beispiel, wie viele diverse Stellen wir noch mit dem bash-bug entdecken werden.

Ich sehe kaum einen Weg, systematisch alle verwundbaren Systeme zu finden und die Betroffenen zu informieren. Und schon gar nicht, ohne ein System aktiv zu überreden, fremden shellcode auszuführen. Auf github ist eine nette Übersicht zu finden, was potentiell alles von shellshock betroffen sein kann (PoC code!).

Wie Matt Blaze vor kurzem sagte:

"That said, our practice of using Turing-complete interpreters to parse network input is giving a scorpion a ride as we swim across the pond."

Erinnert mich verdammt an das Thema langsec am 28. CCC

Hmm...

Autor: L. Aaron Kaplan