Beveiligingsexperts waarschuwen voor een beveiligingslek in besturingssystemen die op Unix gebaseerd zijn zoals Linux en Mac OS X. De kwetsbaarheid bevindt zich in Bash, een Unix-shell die normaal gesproken door gebruikers gebruikt wordt om via softwarecode opdrachten aan het systeem te geven. Door het lek kunnen aanvallers op afstand code op het systeem uitvoeren en het os beïnvloeden.
Bash wordt voor verschillende toepassingen gebruikt. Veel programma’s draaien het in de achtergrond. Het lek ontstaat doordat een aanvaller een kwaadaardig bestand aan een omgevingsvariabele kan toevoegen dat wordt uitgevoerd zodra de shell wordt aangeroepen, meldt Red Hat.
Volgens Josh Bressers, beveiligingsmanager van Red Hat is elke versie van Bash kwetsbaar Volgens Bressers is het lek bovendien zeer ernstig, maar zijn er zeer specifieke omstandigheden vereist zodat een gebruiker op afstand de omgevingsvariabelen kan instellen.
Omvang
Het is nog onduidelijk wat precies de impact van het lek is. Volgens sommige experts is de bug even ernstig, zo niet ernstiger dan het OpenSSL-lek Heartbleed. Securityonderzoeker Robert Graham noemt de Bash-bug ‘as big a deal as Heartbleed’. Alan Woodward, een andere beveiligingsonderzoeker, gaat nog een stap verder. ‘Terwijl Heartbleed ging over rondsnuffelen, gaat dit over directe toegang tot systemen. De deur staat ver open’, zei hij tegenover de BBC.
De Bash-bug die ook wel Shellshock wordt genoemd is volgens experts gevaarlijk omdat ook veel Linux-varianten – routers, webcams en andere apparaten – draaien op software die de Bash-component gebruikt. Volgens vroege schattingen zouden meer dan vijfhonderd miljoen computers, servers en apparaten geïnfecteerd kunnen zijn, meldt de BBC.
Patch
Er is wel al een patch voor Linux beschikbaar, maar updaten is moeilijk omdat het over veel systemen gaat en omdat veel getroffen apparaten niet meer geüpdatet kunnen worden, aldus Robert Graham. Apple heeft nog niet gereageerd.
i.s.m. Datanews
Niet op alle routers staat ook bash. Daarnaast moet er een verbinding bestaan tussen webcomponenten en de shell, dat is niet zo gebruikelijk.
Inmiddels heb ik al een update gekregen in ubuntu.
Dat er 500.000,000 kunnen zijn vind ik een hoogst speculatieve opmerking.
Wat wel duidelijk wordt is dat er dringend behoefte is aan een betere update-politiek voor embedded linux, daar rammelt het nog aan alle kanten.
Schuld hebben hier duidelijk de leveranciers van routers etc. die zich na de verkoop niet meer bezig wensen te houden met upgrades en patches.
Zucht.. ik zat er al op te wachten.
Als een artikel als dit nu eens geschreven zou worden door iemand die wel een beetje bekend is met de ins en outs van Unix (en aanverwante) systemen zou dat een stuk spannender zijn.
Well Pim, I have news for you, Unix-systemen zitten boordevol met dit soort ‘lekken’ !
Al eens “`touch “hello”`” als prompt gedefinieerd?
Al eens /dev/tty’s van colega’s overgenomen?
Al eens gekeken naar sql injections in slecht gebakken php en perl sites?
Systeem bestanden overschreven via sendmail?
Allemaal oude bekende grapjes die je kunt uithalen op systemen die beheerd worden door lui die van toeten nog blazen weten.
Voor dat bash-verhaal moet je eerst toegang tot het systeem hebben alvorens je er iets mee kunt.
Wanneer je eenmaal toegang hebt weten te krijgen tot een systeem is elk systeem lek.
Je moet voor dit vermeende lek eerst environment variabelen instellen. daarvoor moet je dus eerst toegang hebben tot het systeem.
Wat Apple betreft. niet van toepassing he.. Apple maakt werkstations.
Die twee man die Apple-servers draaien zijn niet interesant genoeg om wat mee uit te spoken.
Tip, als je echt bang bent dat bash je systeem lek maakt.
Probeer eens ksh of een van de vele andere Unix shell’s die er bestaan.
Maar ja.. als je al in staat bent de werking van ‘het lek’ te begrijpen dan weet je dat allemaal natuurlijk zelf al 😉
@Jan,
Zit op embedded linux systemen niet gewoon bussybox i.p.v. bash?
@Pascal, denk je dat dit een hoax is en dat ze bij CERT een stelletje idioten zijn?
John, ik geloof niet dat ik dat beweerd heb 😉
@J van Voren: Het is geen Hoax. Een hoax is een technisch verhaal dat niet klopt. Zoals bijvoorbeeld je iPhone opladen met een huis-tuin-en-keuken magnetron.
@Pascal: Ik begrijp het verhaal zelf ook maar half. Het is volgens sommigen een feature en niet een bug. Luie of slechte programmeurs die bash voor hun CGI scripts gebruiken en daar niet met een eigen subset van environment variabelen te gebruiken, maken toch zelf die keuzes?
Daarnaast heb je volgens mij meerdere problemen nodig om deze attack vector te laten werken. Je kan wel leuk een .rhosts file ergens aanmaken, maar als de firewall poort van rlogin dicht staat, kom je nog nergens.
@Pascal, ben blij dat je de reactie van CERT niet overdreven vind.
@Technicus, ik weet wat een hoax is. Ik was alleen erg verbaasd door de bagatelliserende uitlatingen van Pascal.
Een fout door slechte specificaties, slecht ontwerp of slecht programmeren/testen, wordt een bug genoemd. (A software bug is an error, flaw, failure, or fault in a computer program or system that causes it to produce an incorrect or unexpected result, or to behave in unintended way.) Natuurlijk kan de bug ooit als een undocumented feature bedoeld zijn, maar toch zou ik het een bug noemen.
Technicus, het is zoals je het zegt, wat als een feature is bedoeld wordt gezien als een bug.
Ik vergeleek het al eens met het kunnen uitvoeren van .exe vanuit een outlook. een leuke feature maar wel een extreem voorbeeld van hoe het niet moest.
Voor de bash hack zul je eerst op het systeem moeten komen wil je verder komen.
Ofwel via scripts moeten maken die via bash iets aanroepen (denk aan `ls $mijndir` wat idd niet zo heel handig is)
Gewoon even validatie doen van variabelen die je uit onbekende bron haalt.
bash laat het toe functies te definieren.
Dat is leuk maar daar zit een issue in (de imiddels beruchte bug-feature) je kunt n.l. achter die definitie nog iets extra’s plakken
Wie een beetje bekend is met sql injections weet wat je dan zoal kunt uitspoken.
John,
Waar het mij om ging is dat zo ongeveer alle vakbladen ineens vol staan met Telegraafstyle gekwaak zonder dat de auteurs toelichten hebben wat nu eigenlijk het probleem is.
Je kunt toch de simpele vragen beantwoorden
– Wat is het probleem eigenlijk ?
– Hoe werkt het lek ?
– wat voor tech info is er over te vinden.
– Wie heeft er verstand van en kan me er over bijpraten
– ohhh is er een patch ? wat doet die patch dan ?
Zo zou een artikel ineens meer waarde hebben dan van horen zeggen.
En bedenk altijd: ‘It’s not a bug, it’s an undocumented feature’
hoe vaak ik die al gehoord heb 😉