shellshock

[matsukan]

http://www.theverge.com/2014/9/24/6840697/worse-than-heartbleed-todays-bash-bug-could-be-breaking-security-for

Tämä on tällä hetkellä alhaalla :

https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environment-variables-code-injection-attack/

Linux users got a nasty surprise today, as a security team at Red Hat uncovered a subtle but dangerous bug in the Bash shell, one of the most versatile and widely used utilities in Linux. It's being called the Bash bug, or Shellshock. When accessed properly, the bug allows for an attacker's code to be executed as soon as the shell is invoked, leaving the door open for a wide variety of attacks. Worse yet, it appears the bug has been present in enterprise Linux software for a long time, so patching every instance may be easier said than done. Red Hat and Fedora have already released patches for the bug. The bug also affects OS X, and while the company has yet to release an official fix, this Stack Exchange post contains details on how Mac users can check for the vulnerability and patch it once identified.

[matsukan]

http://cve.mitre.org/cgi-bin/cvename.cgi?name=2014-6271

Tähän tuli korjaus viimeisimmässä turvapäivityksissä Ubuntun 14.4:ssa.

edit:

http://arstechnica.com/security/2014/09/bug-in-bash-shell-creates-big-security-hole-on-anything-with-nix-in-it/

[Sami Lehtinen]

Virallinen info Suomessa:
https://www.viestintavirasto.fi/tietoturva/tietoturvanyt/2014/09/ttn201409251726.html

Tuossa hyvä postaus aiheesta:
http://www.troyhunt.com/2014/09/everything-you-need-to-know-about.html

Pari muuta viihdyttävää:
https://gist.github.com/anonymous/929d622f3b36b00c0be1
http://blog.erratasec.com/2014/09/bash-shellshock-bug-is-wormable.html

Joo, aika hyvä security fail. Eiköhän tuohon tule aika nopeasti korjaukset, varsinkin kun toi github paketti on vapaasti käytettävissä, eikä se ollut muutenkaan kovin vaikea käyttää.

Uh, onneksi on päivittäiset automaagiset päivitykset käytössä.

[ajaaskel]

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
bash: varoitus: x: ignoring function definition attempt
bash: virhe tuotaessa ”x”:n funktiomääritystä
this is a test

Itsekäännetty/pätsätty bash ollut käytössäni melkein heti kun tuon näin. Lainasin tuolta vinkkejä:

http://askubuntu.com/questions/528101/what-is-the-cve-2014-6271-bash-vulnerability-and-how-do-i-fix-it

[petteriIII]

Mutta ilmeisesti vain LTS-versiot on paikattu. 14.10:iin ei ole vieläkään tullut, ei pääpalvelimellekaan.

- muuten semmoinen mielenkiintoinen seikka oli jossain tuosta asiasta kertovassa postissa että BASH:in merkitys on vuosien varrella kasvanut ja siksi siitä on vaikea päästä eroon. Ja *kaikkialla* hyper-super-virtuoosienkin sivuilla annetaan ymmärtää että BASH sätkii enää heikosti.
- niinkuin tuo BASH:in suurimpia nimiä, Stephane Chazelas joka asiasta ensiksi kertoi. Josta voi päätellä että likaisia on jauhot.

[salai]

Bashiin tuli toinen päivitys, vuorokausi edellisen jälkeen
bash (4.3-7ubuntu1.1) to 4.3-7ubuntu1.3
koska ensimmäinen oli ilmeisesti vain osittainen korjaus.

[ajaaskel]

Lähdekoodista käännetty on v4.3.11:
bash --version
GNU bash, versio 4.3.11(1)-release (x86_64-pc-linux-gnu)


Sain kokeiluissa sivutuotteena sotkettua testikoneella promptin väärän näköiseksi, mistähän tuo nyt tulikaan käännöskokeiden lisukkeena... Muilla koneilla normaali.
 

[salai]

Laiska pääsee näköjään helpommalla, ohjelmalähteistä päivitetty:
GNU bash, versio 4.3.11(1)-release (i686-pc-linux-gnu)

Jostain syystä promptikin näyttää entiseltä. 

[av122]

Onkohan muissa komentotulkeissa löytyny samaa tai vastaavan kaltaista tietoturva-aukkoa?

Ite kun pitäis Skrolliin tehdä juttu zsh-komentotulkista, niin tuli jo sen takii vaihdettuu normi-tunnukselle zsh.

[AimoE]

Testi

Koodia: [Valitse]

x='() { :;}; echo HAAVOITTUVA' bash -c : paljastaa vian CVE-2014-6271, mutta se ei paljasta onko CVE-2014-7169 korjattu.
Onko joku saanut selville millä testillä voin tarkistaa onko CVE-2014-7169 korjattu?
Esimerkiksi cygwin/bash on vasta osittain korjattu.

[kuutio]

Onkohan muissa komentotulkeissa löytyny samaa tai vastaavan kaltaista tietoturva-aukkoa?

Ite kun pitäis Skrolliin tehdä juttu zsh-komentotulkista, niin tuli jo sen takii vaihdettuu normi-tunnukselle zsh.

Kyseistä aukkoa ei löydy zsh:sta (ei käsittääkseni muistakaan shelleistä), mutta toki mistä tahansa shellistä saa avattua kompromisoidun bash istunnon, jos haavoittuva versio bashista on koneella asennettuna.

[salai]

Testi

Koodia: [Valitse]

x='() { :;}; echo HAAVOITTUVA' bash -c : paljastaa vian CVE-2014-6271, mutta se ei paljasta onko CVE-2014-7169 korjattu.
Onko joku saanut selville millä testillä voin tarkistaa onko CVE-2014-7169 korjattu?
Esimerkiksi cygwin/bash on vasta osittain korjattu.

Bash Code Injection Vulnerability via Specially Crafted Environment Variables (CVE-2014-6271, CVE-2014-7169) - Red Hat Customer Portal
Näyttäisi kertovan, onko molemmat korjattu.
Minulla

Koodia: [Valitse]

$  cd /tmp; rm -f /tmp/echo; env 'x=() { (a)=>\' bash -c "echo date"; cat /tmp/echo
bash: x: rivi 1: lauseoppivirhe lähellä odottamatonta avainsanaa ”=”
bash: x: rivi 1: `'
bash: virhe tuotaessa ”x”:n funktiomääritystä
date
cat: /tmp/echo: Tiedostoa tai hakemistoa ei ole
tuntuisi vastaavan CVE-2014-7169 testin negatiivista tulostusta:

Koodia: [Valitse]

$ cd /tmp; rm -f /tmp/echo; env 'x=() { (a)=>\' bash -c "echo date"; cat /tmp/echo
date
cat: /tmp/echo: No such file or directoryeli päivämäärä ei tulostu.

[AimoE]

Kiitos salai!

Olen päivittänyt Cygwin:n tänään Windows-koneella, ja testin tulos on:

Koodia: [Valitse]

$ cd /tmp; rm -f /tmp/echo; env 'x=() { (a)=>\' bash -c "echo date"; cat /tmp/echo
bash: x: rivi 1: lauseoppivirhe lähellä odottamatonta avainsanaa ”=”
bash: x: rivi 1: `'
bash: virhe tuotaessa ”x”:n funktiomääritystä
26. syysta 2014 16:21:11
$

eli toinen korjaus ei ole vielä tullut perille (valitsin lähteeksi ftp.funet.fi).

[petteriIII]

Ongelmaa ei vielä ole edes aloitettu korjata niin että se tuntuisi: http://arstechnica.com/security/2014/09/still-more-vulnerabilities-in-bash-shellshock-becomes-whack-a-mole/
Mutta BASH:ia kehittää yksi ukko, eikä voine vaatia että se kykenee yksin juuri mihinkään. Ja päinvastoin kun on kerrottu: lukemattomat ohjelmat käyttää BASH:inpalveluja. Ja joissain ominaisuuksissa BASH on ainoa joka kynnelle kykenee; ei ne voi siirtyä käyttämään toisia.

[JaniAlander]

Minulla on vähän semmoinen epäilys, että eiköhän kaikista unix-like käyttisten tukemista komentotulkeista joilla on pitkälle kehittyneet skriptausominaisuudet löytyne turvareikiä, kun oikein etsimään aletaan. Kun on paljon ominaisuuksia on paljon mahdollisuuksia niiden väärinkäyttöönkin.

[SuperOscar]

Ja joissain ominaisuuksissa BASH on ainoa joka kynnelle kykenee; ei ne voi siirtyä käyttämään toisia.

Mikähän semmoinen ominaisuus olisi, kysyy vannoutunut zsh:n käyttäjä?

[petteriIII]

ShellShock-ominaisuus ?

[Sami Lehtinen]

Niin, ominaisuus, vai bugi? http://paste.lisp.org/display/143864

Tuossa kirjoittelin tällaisen ja totesin, että onko noi sitten vikoja vai ominaisuuksia, vai mitä. Been there, done that. Lopputulos voi olla hirveä sotku, jos tehdään sellaisia asioita mitä ei ollut tarkoitus alunperin edes tehdä.

Kenen vika kun tällasia tehdään? Ei kenenkään? Tällaisella ajatusproessilla helposti syntyy tuollaisia ongelmia, vaikka hommat sujuukin 'tosi kätevästi'. http://pastebin.com/v3syAmtj Jossain vaiheessa jonkun olisi pitänyt huomata jotain, sitten kun ei huomaa, niin kenen vika on? Ei kenenkään?

Sinänsä älytöntä, että mitään ulkopuolista dataa edes passataan bashin kautta, huono käytäntö. Mutta 'se vaan on niin kätevää', niin siksi sitä tehdään ja se luo myös ongelmia.

[ajaaskel]

Niin, ominaisuus, vai bugi? http://paste.lisp.org/display/143864

Sanoisin myöskin että se on ominaisuus joka on aina ollut eikä bugi ja aivan samoilla perusteilla kun katsoo historiaa.  Se että se ominaisuus halutaan tukkia tällä hetkellä on myöskin ymmärrettävää. Myöskin komentotulkin tehtävä oman näkemykseni mukaan on aina ollut olla komentotulkki ja turva on jo vuotanut muualla jos komentotulkkiin tai sen ympäristöön pääsee asiattomat käsiksi.  Komentotulkin tehtävä _on_ ajaa komentoja.
  

[kuutio]

Sanoisin myöskin että se on ominaisuus joka on aina ollut eikä bugi ja aivan samoilla perusteilla kun katsoo historiaa.  Se että se ominaisuus halutaan tukkia tällä hetkellä on myöskin ymmärrettävää.
  

Se, että ympäristömuuttujilla voi määrittää funktioita on ilman muuta ominaisuus (tosin se on ominaisuus, johon saattaa liittyä turvariskejä).

Mutta on hyvin vaikea uskoa, että tarkoituksella olisi luotu ominaisuus, joka suorittaa funktiomäärityksen perään ympäristömuuttujaan ympätyt komennot, koska muuten ympäristömuuttujiin asetettuja komentoja ei suoriteta. Eli tämä osa on mielestäni ihan selvästi bugi eikä "dokumentoimaton ominaisuus".

Myöskin komentotulkin tehtävä oman näkemykseni mukaan on aina ollut olla komentotulkki ja turva on jo vuotanut muualla jos siihen pääsee asiattomat käsiksi.

Tämä on siinä mielessä ongelmallinen bugi, että komentojen ajaminen ei vaadi pääsyä komentotulkkiin. Esim. dhclient vastaanottaa ympäristömuuttujia dhcp-serveriltä ja välittää ne ajamilleen bash-skipteille (jolloin ympäristömuuttujiin "funktiomääritysten perään jemmatut" komennot ajetaan...rootin oikeuksin).