Magazin [UPDATE] Shellshock - Mögliche Gefahren und Selbsttest für OSX-Nutzer

Tobias Scholze

Apfeltalk Entwicker
AT Redaktion
Registriert
15.07.09
Beiträge
1.581
Für Apple könnte diese Woche nicht schlechter laufen. Erst #jeansgate, anschließend die iOS 8.01 Aktualisierungspanne und nun auch noch ein Bash-Exploit namens "Shellshock". Doch was verbirgt sich hinter diesem martialischen Namen und in wie fern sind OSX-Benutzer davon betroffen? Kurz gesagt: Eher weniger - Vorsicht ist dennoch geboten.[prbreak][/prbreak]

Screen Shot 2014-09-25 at 19.24.33.png

Nach Heartbleed folgt nun "Shellschock" als große Bedrohung unixoider Betriebssysteme. Der Begriff ist wohl am Besten mit "posttraumatisches Belastungsstörung" zu übersetzen und enthält bereits die betroffene Komponente: Die Shell. Eventuell etwas weit hergeholt hiernach einen Angriffsvektor zu beschreiben. Dabei handelt es sich um eine von Red Hat Angestellten entdeckte Schwachstelle die es unter bestimmen Umständen ermöglicht, ungewollt Befehle von Unbekannten in der Shell - dem Terminal - ausführen zu lassen.

Nach Informationen von Tom's Hardware ist diese Schwachstelle weitaus verbreiteter als bei Heartbleed. Die Zitate "Unlike Heartbleed, which only affected a specific version of OpenSSL, this bash bug has been around for a long, long time." und "That means there are lots of old devices on the network vulnerable to this bug. The number of systems needing to be patched, but which won't be, is much larger than Heartbleed." von Robert Graham beschreiben das theoretische Ausmaß dieses Expliots. Tatsächlich wird es die meisten OSX-Benutzer wohl eher weniger treffen. Denn ein Angriff von Extern ist mit Shellshock nur möglich, wenn beispielsweise eine offene SSH-Session besteht oder man direkt korrumpierte Software auf dem Mac im Einsatz hat. Für Privatanwender ist dies eher ein sehr seltenes Szenario.

Ob der jeweilige Rechner von dieser Schwachstelle betroffen ist lässt sich gefahrlos mit dem Ausführen des folgenden Befehls im Terminal testen:

env x='() { :;}; echo vulnerable' bash -c "echo Shockschwerenot ein Exploit"

Falls darauf ein "vulnerable" im Terminal erscheint, ist dieser Rechner noch verwundbar. Hierzu liefern bereits etliche Linux Distributionen entsprechende Patches aus. Apple lässt hiermit noch auf sich warten. Hoffentlich nicht mehr allzu lange. Auch für den Fall das jeder Hersteller einen Patch veröffentlicht gibt es die große Gefahr von nicht gewarteten Anlagen die noch lange ein Risiko für ganze Netzwerke darstellen könnten.

Bei einem solch pikanten Thema ist es hilfreich auf verschiedene Informationsquellen zu setzen. Anbei eine anfängliche Liste von Berichterstattungen zu diesem Thema.
Falls der Community weiterführende Links bekannt sind, bitte in die Kommentare schreiben. Somit hilft man gegenseitig eventuell das Gröbste abzuwenden.


UPDATE 25.09.2014

Wie etliche User von 9to5mac anmerken, scheint die derzeitige Entwicklerversion von Yosemite dagegen abgesichert zu sein.
Screen Shot 2014-09-25 at 19.08.41.png

UPDATE 30.09.2014
Unsere Community Mitglieder @Rastafari und @BenBuster haben darauf hingewiesen (Forum) wonach Apple nun einen entsprechenden Fix (Apple) für verschiedene OSX-Versionen zur Verfügung stellt. Danke euch!
 
Zuletzt bearbeitet:
  • Like
Reaktionen: tiny und iMerkopf

Armpit

Schöner von Nordhausen
Registriert
20.04.10
Beiträge
318
Zu behaupten, dass "OSX-Benutzer davon betroffen? Kurz gesagt: Eher weniger - Vorsicht ist dennoch geboten." ist sehr gefährliches Halbwissen. Da man nun keine Trojaner oder ähnliches entwickeln muss, die Root Rechte brauchen.... Durch diese Lücke kann man als normaler User in der Shell Root Rechte bekommen: https://twitter.com/cnbrkbolat/status/514889775724363776

Der Nutzer muss nicht mehr, wie bei den ganzen "dummen" Trojanern sein Passwort eingeben...
 
  • Like
Reaktionen: simmac

Pennywise81

Jonagold
Registriert
23.07.09
Beiträge
21
Ob der jeweilige Rechner von dieser Schwachstelle betroffen ist lässt sich gefahrlos mit dem Ausführen des folgenden Befehls im Terminal testen:

env x='() { :;}; echo vulnerable' bash -c "echo Shockschwerenot ein Exploit"

Falls darauf ein "Shockschwerenot ein Exploit" im Terminal erscheint, ist dieser Rechner noch verwundbar.

Das ist so nicht richtig. Das "Shockschwerenot ein Exploit" erscheint immer. Wenn zusätzlich "vulnerable" ausgegeben wird, dann ist der Rechner verwundbar!
 

Tobias Scholze

Apfeltalk Entwicker
AT Redaktion
Registriert
15.07.09
Beiträge
1.581
@Pennywise81 du hast natürlich recht. Falsche Phrase eingefügt. *ausgebessert*
@ImpCaligula Nix. ;) Als Entwickler kann ich nicht auf git und andere Shell-basierende Programme verzichten. Zähne zambeisen und durch.
 

MacbookPro@Olli

London Pepping
Registriert
19.05.09
Beiträge
2.060

iMerkopf

Holsteiner Cox
Registriert
12.09.11
Beiträge
3.155
Na großartig... Ein Mac ist schonmal angreifbar. Auf Golem.de (http://www.golem.de/news/bash-luecke-die-hintergruende-zu-shellshock-1409-109463.html) wird von einer "ursprünglichen" Sicherheitslücke gesprochen - damit meinen die vermutlich die Lücke in Unix selbst, oder?

Wenn das so wäre, dürfte das Terminal bei jedem User, bei dem das "vulnerable" erscheint, auch das da:

Code:
bash: X: line 1: syntax error near unexpected token `a'

bash: X: line 1: `'

bash: error importing function definition for `X'

gehackt

als Antwort ausspucken, wenn man das da:

Code:
test="() { echo Hello; }; echo gehackt" bash -c ""
ins Terminal eingibt - richtig?

...oder ist mein Mac jetzt ganz besonders betroffen bzw. sogar schon infiziert?



Edit:
Worauf muss ich demnächst denn besonders achten? Bin in einigen wirklich kleinen Privat-Foren unterwegs - und bei einigen weiß ich aus erster Hand, dass die sich die Sicherheitsvorrichtungen größerer Site-Betreiber schlicht nicht leisten können. Sollte ich erst mal gar nirgendwo hin?
 

Wuchtbrumme

Golden Noble
Registriert
03.05.10
Beiträge
21.415
wer homebrew benutzt, mache ein "brew update, brew upgrade, brew install bash" falls noch nicht geschehen. Wer es nicht benutzt: Jetzt ist eine gute Zeit, sich das anzugucken.

Update dauert grob hochgerechnet 30 Sekunden auf einem aktuellen Rechner und danach war die Bash automatisch im Pfad vorgelagert (eine potentiell verwundbare Binary liegt also immer noch im Apple-System, wird aber nicht mehr benutzt) und der Fehler behoben. Wenn die Herrschaften vom Debian-Projekt mal so fix (und schlau) gewesen wären, das beim Squeeze zu regeln. Dort muss man tatsächlich noch ein LTS-Repository einpflegen, von dem ich noch nie zuvor gehört habe. Man hätte ja auch auch einfach alle Squeeze-Verzeichnisse umbiegen können. Update ist ja Update und die Major-Branch bleibt eh gleich... Argh.
 

casi73

Raisin Rouge
Registriert
31.07.11
Beiträge
1.179
Servus zusammen,
Yosemite ist wohl doch betroffen...
 

Anhänge

  • Screenshot 2014-09-25 21.26.04.png
    Screenshot 2014-09-25 21.26.04.png
    173,9 KB · Aufrufe: 307

Mitglied 87291

Gast
Mein Macbook aus der Signatur mit 10.9.5 ist auch betroffen :(
 

MacMac512

deaktivierter Benutzer
Registriert
14.04.10
Beiträge
903
Yosemite wie bereits gepostet auch.

Wer schon jetzt was dagegen tun will einfach folgende befehle in das Terminal eingeben:

Code:
ruby -e "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/master/install)"

Code:
brew update

Code:
brew upgrade bash

danach sollte der Test anders aussehen und kein vulnerable zu sehen sein.
Unter Yosemite läuft es somit.
 
  • Like
Reaktionen: Warp-x

urehn

Querina
Registriert
26.11.12
Beiträge
184
Wer schon jetzt was dagegen tun will einfach folgende befehle in das Terminal eingeben:
Hab ich gemacht. Ergebnis:
---
/usr/local/Cellar/bash/4.3.25: 59 files, 7,4M
Uwes-iMac:~ urehn$ env x='() { :;}; echo vulnerable' bash -c "echo Shockschwerenot ein Exploit"
vulnerable
Shockschwerenot ein Exploit
---

???
 

MacAlzenau

Golden Noble
Registriert
26.12.05
Beiträge
22.478
Ich tipp einfach mal, daß diese Lösung nur funktioniert, wenn man Homebrew installiert hat.