it-swarm.com.de

Sind normale OS X-Desktops durch den Fehler "Shellshock" (CVE-2014-6271) gefährdet?

Ich habe kürzlich über Twitter von CVE-2014-6271 gehört.

Sind normale OS X-Desktops, die nicht als Webserver fungieren, dem Risiko ausgesetzt, Angriffe zu erhalten, die diese Sicherheitsanfälligkeit ausnutzen könnten?

41
Andrew Grimm

Definieren Sie "Risiko".

Der Kern dieses Angriffs besteht darin, eine Umgebungsvariable zu erstellen, die wie eine Bash-Skriptfunktion aussieht, aber mit dem Aufruf eines Programms endet, und dann Bash auszuführen. Bash sieht die Umgebungsvariable, analysiert sie und analysiert sie nach dem Ende der Funktion weiter und führt das Programm aus.

Jede Methode zum Auslösen der Bash-Ausführung mit mindestens einer vom Angreifer kontrollierten Umgebungsvariablen funktioniert. Webserver-CGI-Angriffe erhalten derzeit die Aufmerksamkeit, aber ein Benutzer, der sich über SSH anmeldet, könnte dies tun (eine fehlgeschlagene Anmeldung kann dies jedoch nicht). Es ist möglich, dass einige FTP-Server dies auslösen (z. B. durch Ausführen eines Post-Upload-Skripts). Ein PackageMaker-basiertes Installationsprogramm könnte dies auslösen. Wenn Sie jedoch ein feindliches Installationsprogramm ausführen, treten größere Probleme auf. Es gibt wahrscheinlich auch viele andere Möglichkeiten.

Es ist unwahrscheinlich, dass ein durchschnittlicher Desktop-Benutzer, der durchschnittliche Desktop-Benutzeraktivitäten ausführt, offene Angriffsvektoren hat, die zum Auslösen dieses Fehlers verwendet werden könnten, aber Bash taucht an genügend unerwarteten Stellen auf, die nicht sicher zu sagen sind.

35
Mark

Sie müssen lediglich feststellen, auf welchen Prozessen bash ausgeführt wird. Auf Linux-Systemen scheint eine Schwachstelle möglicherweise darin zu liegen, wie DHCP-Anforderungen behandelt werden.

Sie können mit execsnoop feststellen, was bash ausführt, und dann versuchen, einige normale Dinge zu tun - beispielsweise eine Verbindung zu einem WLAN-Netzwerk herzustellen oder Webseiten zu durchsuchen, für die externe Helfer erforderlich sind (z. B. iTunes). Überprüfen Sie, ob bash ausgeführt wird, und verwenden Sie dann einige andere dtrace-Tools, um festzustellen, ob Sie die Umgebungen überprüfen können.

Um ehrlich zu sein, ist es jedoch sinnvoller, den Computer zu aktualisieren, sobald ein Fix verfügbar ist. Ich habe noch keine für OS X gesehen (habe aber einige Stunden nicht gesucht), aber ich würde ein Auge darauf werfen und aktualisieren, wenn dies passiert.

11
Kevin Lyda

Nein, soweit ich das beurteilen kann, normal OS X-Desktops nicht.

OS X DHCP ist nicht anfällig. Heutzutage wird überhaupt keine Shell aufgerufen, und in den Versionen, in denen ein Bootpd verwendet wurde, das did eine Shell aufruft, war diese Shell kein Bash. Einige Websites haben vorgeschlagen, dass tcsh ausgeführt worden wäre, aber ich denke, es wäre tatsächlich /bin/sh gewesen, was (aus dem Speicher) auf älteren Versionen von OS X die BSD-Implementierung der Bourne-Shell war. nicht Bash.

Wenn Sie Apache ausführen und Vanilla CGI (was für einen OS X-Desktop nicht normal ist) mit Bash verwenden, sind Sie anfällig.

Wenn Sie einen OS X-Computer verwenden, um einen eingeschränkten SSH-Server mit ForceCommand auszuführen, sind Sie ebenfalls anfällig. Auch dies ist nicht normal für einen OS X-Desktop.

Die verschiedenen Serverprozesse von Apple, obwohl ich nicht alle überprüft habe, verwenden aus dem Speicher in der Regel Twisted und kehren sie dann mit Apache als Proxy um. Das beinhaltet kein CGI und ist nicht anfällig.

8
alastair