Heute Morgen wurde eine neue Sicherheitslücke in Linux Bash bekanntgegeben die es ermöglicht schadhaften Code auf einem Linux System ausführbar zu machen.
Wie Heise.de berichtet ist es ebenfalls möglich diesen schadhaften Code über GET Befehle mit Hilfe des Apache Webservers zu implementieren.
Nach einigen Tests mit Hilfe des auf Heise.de aufgeführten Testbefehls sind von diesen Problem auch ältere Serversysteme betroffen deren Betriebssystem bereits End of Life ist. Im Laufe des Tages werden wir für diese Systeme eine Anleitung erstellen wie man den Patch von Hand einspielt.
Die Linux Distributionen haben bereits ein bash Update veröffentlicht, das über die gängigen Update Befehle (Debian/Ubuntu: apt-get update && apt-get upgrade) eingespielt werden kann. Unsere Webserver sowie Verwaltungssysteme wurden bereits vollständig aktualisiert. Aktuell werden die Patches noch auf den Managed Serversystemen eingespielt.
Sollten Sie weitere Fragen haben, steht Ihnen unser Support gerne jederzeit zur Verfügung.
Update – 15:41 Uhr
Der Patch für die Debianbasierten EOL Systeme steht zur Verfügung.
Einfach per root auf den entsprechenden Server einloggen, anschließend folgende Befehle eingeben:
wget http://mirror.ip-projects.de/sonstiges/bash_3.2-5ubuntu1tt2_amd64.deb dpkg -i bash_3.2-5ubuntu1tt2_amd64.deb
Verifizieren ob das Update funktioniert hat:
root@:~# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test
fertig. Dieses Update funktioniert für alle älteren Ubuntu Versionen. Für Debian Lenny arbeiten wir aktuell noch ein entsprechendes Update aus.
Update – 19:24 Uhr
Der Patch für Debian Lenny wurde soeben fertiggestellt.
http://mirror.ip-projects.de/sonstiges/bash_3.2-4tt2_amd64.deb
Update – 26.09.2014 – 11:50 Uhr
Um auch die zuletzt bekanntgewordenen Sicherheitslücken auszumärzen wurden die Images nochmals aktualisiert.
Update – 26.09.2014 – 17:31 Uhr
Ein sehr hilfreiches Script um alte Server auf Debian / Ubuntu die nicht unter 64 Bit betrieben werden upzudaten: https://gist.github.com/mattwhite/86de50d30134129e44ef
Für Debian Squeeze, LTS repos müssen in sources.list hinzugefügt werden, wenn nicht vorhanden:
http://stackoverflow.com/questions/26069490/how-to-fix-shellshock-vulnerability-on-debian-squeeze
Oder https://blog.ip-projects.de/debian-squeeze-lts/ 🙂