kritische Sicherheitslücke auf Linux Server

lars   September 26, 2014   Kommentare deaktiviert für kritische Sicherheitslücke auf Linux Server

Habe heute eine Mail bekommen von meinem Provider, daß es eine kritische Sicherheitslücke auf Linux Servern in der Shell gibt. hier die komplette Mail als Zitat:

am 24. September wurde eine als kritisch eingestufte Sicherheitslücke in der Unix-Shell-Bash bekannt – der Standard-Shell auf den meisten Unix-Systemen. Sie  betrifft vor allem Linux Server und erlaubt das Ausführen von beliebigem Schadcode aus dem Netz.

Welche Server sind betroffen?

Alle Server mit einem Linux-Betriebssystem können von der Sicherheitslücke betroffen sein, d.h. virtuelle und dedizierte Linux-Server, ServerCloud mit Linux-VMs und MultiServer.

Wenn Sie Kunde eines STRATO Managed- oder Business Server sind, übernehmen wir die Aktualisierung des Betriebssystems für Sie, um die Sicherheitslücke umgehend zu schließen.

Wie finde ich heraus, ob mein Server betroffen ist?

Laut dem Linux-Distributor Red Hat kann jeder selbst herausfinden, ob der eigene Server betroffen ist, indem in Bash der folgende Befehl ausgeführt wird:

env x='() { :;}; echo vulnerable‘ bash -c „echo this is a test“

Gibt die Shell anschließend die Zeichenfolge „vulnerable“ aus, ist der Server verwundbar.

Sollten Sie unter Debian folgende Ausgaben erhalten, ist Ihr System nicht gefährdet:

       bash: warning: x: ignoring function definition attempt

       bash: error importing function definition for ‚x‘

Unter anderen Betriebssystemen ist es möglich, dass diese Ausgaben leicht abweichen.

Was kann ich tun, wenn mein Server betroffen ist?

Aktualisieren Sie Ihr Betriebssystem und installieren Sie entsprechende Sicherheitspatches. Dazu stehen Ihnen bereits von einigen Linux-Distributionen – beispielsweise Ubuntu, Debian und CentOS  –  Patches zur Verfügung, die die Sicherheitslücke schließen. Bitte überprüfen Sie regelmäßig die Verfügbarkeit von Updates Ihrer Distributionen.

Eine Aktualisierung Ihres Betriebssystem können Sie mit den nachfolgenden Befehlen veranlassen.

CentOS:
yum update

openSUSE:
zypper up

Debian/Ubuntu:
aptitude update
aptitude upgrade

Wenn Sie ein „unsupported“ Betriebssystem installiert haben, empfehlen wir Ihnen die Neuinstallation eines aktuellen Images mit Hilfe des Einrichtungsassistenten im Kundenservicebereich. Bitte achten Sie darauf, vor der Neuinstallation alle Daten auf Ihrem Server zu sichern.

Hinweis: Verfügbare Betriebssysteme mit dem Zusatz „unsupported“ werden vom Hersteller oder von STRATO nicht mehr mit Updates versorgt. In solchen Betriebssystemen können sich alte oder sicherheitskritische Komponenten befinden.

Wo finden Sie weitere Informationen zur Sicherheitslücke?

Weitere Informationen zu dieser Sicherheitslücke finden Sie auch unter:

http://www.heise.de/security/meldung/Standard-Unix-Shell-Bash-erlaubt-das-Ausfuehren-von-Schadcode-2403305.html (de)

https://securityblog.redhat.com/ (en)

http://seclists.org/oss-sec/2014/q3/649 (en)

Schaut am besten nach ob es bei euch auch so ist.