• Apfeltalk ändert einen Teil seiner Allgemeinen Geschäftsbedingungen (AGB), das Löschen von Useraccounts betreffend.
    Näheres könnt Ihr hier nachlesen: AGB-Änderung
  • Die Bildungsoffensive hier im Forum geht weiter! Jetzt sollen Kreativität und technische Möglichkeiten einen neue Dimension erreichen. Das Thema in diesem Monat lautet - Verkehrte Welt - Hier geht es lang --> Klick

Magazin [UPDATE] Shellshock - Mögliche Gefahren und Selbsttest für OSX-Nutzer

Tobias Scholze

Tobias Scholze

Apfeltalk Entwicker
AT Redaktion
Registriert
15.07.09
Beiträge
1.581
Für Apple könnte diese Woche nicht schlechter laufen. Erst #jeansgate, anschließend die iOS 8.01 Aktualisierungspanne und nun auch noch ein Bash-Exploit namens "Shellshock". Doch was verbirgt sich hinter diesem martialischen Namen und in wie fern sind OSX-Benutzer davon betroffen? Kurz gesagt: Eher weniger - Vorsicht ist dennoch geboten.[prbreak][/prbreak]

Screen Shot 2014-09-25 at 19.24.33.png

Nach Heartbleed folgt nun "Shellschock" als große Bedrohung unixoider Betriebssysteme. Der Begriff ist wohl am Besten mit "posttraumatisches Belastungsstörung" zu übersetzen und enthält bereits die betroffene Komponente: Die Shell. Eventuell etwas weit hergeholt hiernach einen Angriffsvektor zu beschreiben. Dabei handelt es sich um eine von Red Hat Angestellten entdeckte Schwachstelle die es unter bestimmen Umständen ermöglicht, ungewollt Befehle von Unbekannten in der Shell - dem Terminal - ausführen zu lassen.

Nach Informationen von Tom's Hardware ist diese Schwachstelle weitaus verbreiteter als bei Heartbleed. Die Zitate "Unlike Heartbleed, which only affected a specific version of OpenSSL, this bash bug has been around for a long, long time." und "That means there are lots of old devices on the network vulnerable to this bug. The number of systems needing to be patched, but which won't be, is much larger than Heartbleed." von Robert Graham beschreiben das theoretische Ausmaß dieses Expliots. Tatsächlich wird es die meisten OSX-Benutzer wohl eher weniger treffen. Denn ein Angriff von Extern ist mit Shellshock nur möglich, wenn beispielsweise eine offene SSH-Session besteht oder man direkt korrumpierte Software auf dem Mac im Einsatz hat. Für Privatanwender ist dies eher ein sehr seltenes Szenario.

Ob der jeweilige Rechner von dieser Schwachstelle betroffen ist lässt sich gefahrlos mit dem Ausführen des folgenden Befehls im Terminal testen:

env x='() { :;}; echo vulnerable' bash -c "echo Shockschwerenot ein Exploit"

Falls darauf ein "vulnerable" im Terminal erscheint, ist dieser Rechner noch verwundbar. Hierzu liefern bereits etliche Linux Distributionen entsprechende Patches aus. Apple lässt hiermit noch auf sich warten. Hoffentlich nicht mehr allzu lange. Auch für den Fall das jeder Hersteller einen Patch veröffentlicht gibt es die große Gefahr von nicht gewarteten Anlagen die noch lange ein Risiko für ganze Netzwerke darstellen könnten.

Bei einem solch pikanten Thema ist es hilfreich auf verschiedene Informationsquellen zu setzen. Anbei eine anfängliche Liste von Berichterstattungen zu diesem Thema.
Falls der Community weiterführende Links bekannt sind, bitte in die Kommentare schreiben. Somit hilft man gegenseitig eventuell das Gröbste abzuwenden.


UPDATE 25.09.2014
Wie etliche User von 9to5mac anmerken, scheint die derzeitige Entwicklerversion von Yosemite dagegen abgesichert zu sein.
Screen Shot 2014-09-25 at 19.08.41.png

UPDATE 30.09.2014
Unsere Community Mitglieder @Rastafari und @BenBuster haben darauf hingewiesen (Forum) wonach Apple nun einen entsprechenden Fix (Apple) für verschiedene OSX-Versionen zur Verfügung stellt. Danke euch!
 
Zuletzt bearbeitet:
  • Like
Reaktionen: tiny und iMerkopf
Zu behaupten, dass "OSX-Benutzer davon betroffen? Kurz gesagt: Eher weniger - Vorsicht ist dennoch geboten." ist sehr gefährliches Halbwissen. Da man nun keine Trojaner oder ähnliches entwickeln muss, die Root Rechte brauchen.... Durch diese Lücke kann man als normaler User in der Shell Root Rechte bekommen: https://twitter.com/cnbrkbolat/status/514889775724363776

Der Nutzer muss nicht mehr, wie bei den ganzen "dummen" Trojanern sein Passwort eingeben...
 
  • Like
Reaktionen: simmac
Tobias Scholze schrieb:
Ob der jeweilige Rechner von dieser Schwachstelle betroffen ist lässt sich gefahrlos mit dem Ausführen des folgenden Befehls im Terminal testen:

env x='() { :;}; echo vulnerable' bash -c "echo Shockschwerenot ein Exploit"

Falls darauf ein "Shockschwerenot ein Exploit" im Terminal erscheint, ist dieser Rechner noch verwundbar.
Zum Vergrößern anklicken....

Das ist so nicht richtig. Das "Shockschwerenot ein Exploit" erscheint immer. Wenn zusätzlich "vulnerable" ausgegeben wird, dann ist der Rechner verwundbar!
 
  • Like
Reaktionen: Balkenende und OldCaligula
@Pennywise81 du hast natürlich recht. Falsche Phrase eingefügt. *ausgebessert*
@ImpCaligula Nix. ;) Als Entwickler kann ich nicht auf git und andere Shell-basierende Programme verzichten. Zähne zambeisen und durch.
 
Na großartig... Ein Mac ist schonmal angreifbar. Auf Golem.de (http://www.golem.de/news/bash-luecke-die-hintergruende-zu-shellshock-1409-109463.html) wird von einer "ursprünglichen" Sicherheitslücke gesprochen - damit meinen die vermutlich die Lücke in Unix selbst, oder?

Wenn das so wäre, dürfte das Terminal bei jedem User, bei dem das "vulnerable" erscheint, auch das da:

Code: 
bash: X: line 1: syntax error near unexpected token `a'

bash: X: line 1: `'

bash: error importing function definition for `X'

gehackt

als Antwort ausspucken, wenn man das da:

Code: 
test="() { echo Hello; }; echo gehackt" bash -c ""
ins Terminal eingibt - richtig?

...oder ist mein Mac jetzt ganz besonders betroffen bzw. sogar schon infiziert?



Edit:
Worauf muss ich demnächst denn besonders achten? Bin in einigen wirklich kleinen Privat-Foren unterwegs - und bei einigen weiß ich aus erster Hand, dass die sich die Sicherheitsvorrichtungen größerer Site-Betreiber schlicht nicht leisten können. Sollte ich erst mal gar nirgendwo hin?
 
wer homebrew benutzt, mache ein "brew update, brew upgrade, brew install bash" falls noch nicht geschehen. Wer es nicht benutzt: Jetzt ist eine gute Zeit, sich das anzugucken.

Update dauert grob hochgerechnet 30 Sekunden auf einem aktuellen Rechner und danach war die Bash automatisch im Pfad vorgelagert (eine potentiell verwundbare Binary liegt also immer noch im Apple-System, wird aber nicht mehr benutzt) und der Fehler behoben. Wenn die Herrschaften vom Debian-Projekt mal so fix (und schlau) gewesen wären, das beim Squeeze zu regeln. Dort muss man tatsächlich noch ein LTS-Repository einpflegen, von dem ich noch nie zuvor gehört habe. Man hätte ja auch auch einfach alle Squeeze-Verzeichnisse umbiegen können. Update ist ja Update und die Major-Branch bleibt eh gleich... Argh.
 
  • Like
Reaktionen: Guy.brush, Warp-x und Farafan
Servus zusammen,
Yosemite ist wohl doch betroffen...
 

Anhänge

  • Screenshot 2014-09-25 21.26.04.png
    Screenshot 2014-09-25 21.26.04.png
    173,9 KB · Aufrufe: 307
Mein Macbook aus der Signatur mit 10.9.5 ist auch betroffen :(
 
Yosemite wie bereits gepostet auch.

Wer schon jetzt was dagegen tun will einfach folgende befehle in das Terminal eingeben:

Code: 
ruby -e "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/master/install)"

Code: 
brew update

Code: 
brew upgrade bash

danach sollte der Test anders aussehen und kein vulnerable zu sehen sein.
Unter Yosemite läuft es somit.
 
  • Like
Reaktionen: Warp-x
MacMac512 schrieb:
Wer schon jetzt was dagegen tun will einfach folgende befehle in das Terminal eingeben:
Zum Vergrößern anklicken....
Hab ich gemacht. Ergebnis:
---
/usr/local/Cellar/bash/4.3.25: 59 files, 7,4M
Uwes-iMac:~ urehn$ env x='() { :;}; echo vulnerable' bash -c "echo Shockschwerenot ein Exploit"
vulnerable
Shockschwerenot ein Exploit
---

???
 
Ich tipp einfach mal, daß diese Lösung nur funktioniert, wenn man Homebrew installiert hat.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
2003-2025 Apfeltalk | Made on a Mac
Oben Unten