Større enn Heartbleed?

Større enn Heartbleed?

Ny sikkerhetsbrist funnet. Kan være på alle systemer som ender på «x».

Ikke mange månedene etter at Heartbleed-feilen rystet internett i grunnvollene, har en ny alvorlig sikkerhetsbrist blitt funnet. Denne gangen er feilen i det svært utbredte kommandolinjeskallet Bash (GNU Bourne again shell), programvare som kan være tilstede på alle Unix-, Linux- og Mac OS X-systemer.

Dermed er mer enn bare servere og datamaskiner i risikosonen. All elektronikk som drives av en eller annen Linux-variant kan også være utsatt. Det betyr at NAS-er, trådløse rutere, smart-tv-er, harddiskopptakere, kaffemaskinen på jobb, og alle de andre smarte produkter vi omgir oss med, kan være utsatt for denne risikoen.

Feilen kalles «Shellshock» eller «Bash bug».

Starter programmer

Ifølge det svært anerkjente nettstedet Ars Technica har svakheten som nå er oppdaget med hvordan Bash håndterer systemvariabler fra operativsystemet eller av et program som starter en Bash-basert skript i operativsystemet. Dersom Bash er standardskall i operativsystemet, kan programvare startes opp på en lang rekke måter fra nettverket, via web-oppkall, telnet, ssh og andre programmer som bruker Bash til å kjøre skripter.

Dermed er det mulig å gjøre rettete angrep som starter opp programvare på systemet, gjennom mange forskjellige teknikker som utnytter svakheten. Et web-oppkall mot en Apache-basert webserver kan starte programmer fordi Apache bruker Bash for å kjøre CGI-skripter. Lignende angrep er også mulig å gjennomføre via OpenSSH, der programmet til og med kan komme seg rundt rettighetskontrollene og kjøre kode som en privilegert bruker på systemet.

Svært stor utbredelse

Siden Bash er så utbredt, estimerer mange sikkerhetseksperter nå at denne feilen er mer utbredt enn Heartbleed-feilen vi så for noen måneder siden. Svakheten finnes i alle versjoner av GNU Bash fra 1.14 til og med versjon 4.3.

Mange av leverandørene av de store Linux-distribusjonene har sendt ut oppdateringer som reparerer versjoner som er berørt av denne feilen. Dette gjelder blant annet:

  • Red Hat Enterprise Linux (versjon 4 til og med 7) og Fedora-distribusjonen
  • CentOS (versjon 5 til og med 7)
  • Ubuntu 10.04 LTS, 12.04 LTS, og 14.04 LTS
  • Debian

Mac OS X 10.9.4 («Mavericks») bruker også en sårbar versjon av Bash. Denne er foreløpig ikke lappet, men selskapet har ifølge Ars Technica nylig lagt ut en oppdatering til sine kommandolinjeverktøy.

Enkelt å sjekke

Det finnes en enkel test for å finne ut om systemet ditt har denne svakheten. Åpne et terminalvindu, slik at du har en kommandolinje tilgjengelig, og skriv inn følgende kommando:

env x='() { :;}; echo SYSTEMET ER SÅRBART!' bash -c "echo Dette er en test"

Dersom systemet er berørt av denne feilen, vil denne kommandoen resultere I følgende:

SYSTEMET ER SÅRBART!

Dette er en test

Dersom systemet ikke er berørt – eller er oppdatert – vil følgende tilbakemelding komme opp på skjermen:

bash: warning: x: ignoring function definition attempt

bash: error importing function definition for `x'

Dette er en test

Les om: