Remote Exploit Vulnerability Found In Bash CVE-2014-6271

 ( MrBee | 2014. szeptember 25., csütörtök - 2:16 )

http://linux.slashdot.org/story/14/09/24/1638207/remote-exploit-vulnerability-found-in-bash

A flaw was found in the way Bash evaluated certain specially crafted environment variables. An attacker could use this flaw to override or bypass environment restrictions to execute shell commands. Certain services and applications allow remote unauthenticated attackers to provide environment variables, allowing them to exploit this issue.

Teszt:

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Patch elott:

$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test

Patch utan:

$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test

Itt pedig disztronkent:

Novel/SuSE
Debian
Ubuntu
Redhat/Fedora
CentOS

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Kb egy honapja morogtam valakinek, hogy milyen mar, hogy a kornyezetei valtozok koze shell-fuggvenyeket is be lehet csempeszni bash alatt. De hogy mindezt meg nevtelen fuggvennyel is, arra nem igazan szamitottam. De azert ez mar vegkepp mindennek az alja. A bash megerett a pusztulasra.

lehet, hogy ideje megint atterni mksh-ra :)

--
NetBSD - Simplicity is prerequisite for reliability

Hasznos info squeezet használóknak:
/etc/apt/sources.list -be az alábbi 2 repot hozzá kell adni:

deb http://ftp.de.debian.org/debian squeeze-lts main contrib non-free
deb-src http://http.debian.net/debian/ squeeze-lts main contrib non-free

Majd apt-get update, apt-get install bash és már a nem kompromittálható friss bash lesz fent.
Az lts nélkül nincs frissítés a csomagra jelen pillanatban squeeze alatt.

---------------------------------------------------
Hell is empty and all the devils are here.
-- Wm. Shakespeare, "The Tempest"

Ugy fest a fix sem teljes... beindultak a bash muveszek mindenfele egyeb nyalankaggal szoval erdemes ranezni a patch-ekre kesobb is ;)

Kicsit fájlalom, hogy a "linux-security"-be került, mert ez az annál szélesebb körű. A helye a "security-all"-ban lenne inkább. Ahogy tudom, pl. az OS X-ben is a bash a default shell.

--
trey @ gépház

fixed ;)

Fixeljünk? Hát fixeljünk, ha ma ezt a trágyás talicskát kell tolni!

DE

nekem ez már sok a shellshockból:

lx@egyikgep$> uname -a; dpkg -l bash | tail -1; bash -version | head -1; ldd /bin/bash; md5sum /bin/bash; echo " - - - - -"; env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
Linux egyikgep 3.2.0-4-amd64 #1 SMP Debian 3.2.60-1+deb7u3 x86_64 GNU/Linux
ii  bash                               4.2+dfsg-0.1+deb7u3                amd64        GNU Bourne Again SHell
GNU bash, version 4.2.37(1)-release (x86_64-pc-linux-gnu)
        linux-vdso.so.1 =>  (0x00007fff3b16e000)
        libtinfo.so.5 => /lib/x86_64-linux-gnu/libtinfo.so.5 (0x00007f90abac8000)
        libdl.so.2 => /lib/x86_64-linux-gnu/libdl.so.2 (0x00007f90ab8c4000)
        libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007f90ab538000)
        /lib64/ld-linux-x86-64.so.2 (0x00007f90abcfa000)
144968564a6b1159ed82059920cea76f  /bin/bash
 - - - - -
vulnerable
this is a test



lx@masikgep$> uname -a; dpkg -l bash | tail -1; bash -version | head -1; ldd /bin/bash; md5sum /bin/bash;  echo " - - - - -"; env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
Linux masikgep 3.2.0-4-amd64 #1 SMP Debian 3.2.60-1+deb7u3 x86_64 GNU/Linux
ii  bash                               4.2+dfsg-0.1+deb7u3                amd64        GNU Bourne Again SHell
GNU bash, version 4.2.37(1)-release (x86_64-pc-linux-gnu)
        linux-vdso.so.1 =>  (0x00007fffcb1ff000)
        libtinfo.so.5 => /lib/x86_64-linux-gnu/libtinfo.so.5 (0x00007fdf4eb92000)
        libdl.so.2 => /lib/x86_64-linux-gnu/libdl.so.2 (0x00007fdf4e98e000)
        libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007fdf4e602000)
        /lib64/ld-linux-x86-64.so.2 (0x00007fdf4edc4000)
144968564a6b1159ed82059920cea76f  /bin/bash
 - - - - -
this is a test

Ugyanaz a kernel, ugyanaz a bash, ugyanazokkal a libekkel (a verziójuk azonos), csak a teszt eredménye más.

Első tippem az volt, hogy más-más repokból jöttek a csomagok, de a sources.list minimalizálása és --reinstall után is létezik a különbség.

Szépen kérem, valaki mondja, hogy hülye/vak vagyok, és mutasson rá, hogy miért!
Előre is köszönöm!

Hülye vagy. Vak vagy. Csak.
(Bocs, de ez kihagyhatatlan volt.)
Annyit látok, hogy nem ugyanarra a címre vannak betöltve a libek.

Egy hülye, egy vak, ez már valami, csak beindul ez a nyomozás!

Ha valakinek esetleg eszébe jutna indítani egy hoaxot azzal, hogy napjaink linuxában az admin köteles konfigurálni, hogy melyik lib hová kerüljön (tiszteletadásul a hajdani BIOS-oknak és config.syseknek), különben a végrehajtás fuzzy irányt vesz... nos, bátran támassza alá a fenti anomáliával! Sajnos reprodukálható.

Kiléptél a "régi" bashból frissítés után? Szerintem fent van már az új, de még a régi fut.

Hajaj, de hányszor! A logoff rögtön megvolt, sőt reboot is a frissen megőszült maradék hajam kitépése után.

Az egészben az a legkínosabb, hogy most már azt sem tudom, minek higgyek: a patch vérezhet így bizonyos (de milyen?) esetekben, vagy minden más (de mi?) nem viselkedik normálisan a már korrekt verzióval.

Index-en ki irja a cikkeket? "Új horror" mi a ...

Hátha Nevemteve (vagy más) kollégát érdekel az AIX oldali fix:
http://www-01.ibm.com/support/docview.wss?uid=isg3T1021272

(Bár viszonylag friss xlc-vel döccenés nélkül fordítható a heti fixig patchelt 4.3-as verzió.)

Koszi!

udv
letix

update: secretx kolleganak!

-----------------------------------------
Linux alapparancsok, kezdőknek