Bash-kwetsbaarheid laat aanvaller code uitvoeren op Linux en OS X
Een kwetsbaarheid laat aanvallers code injecteren in de Bash-shell, die door OS X en vrijwel alle Linux-distributies wordt gebruikt. Daardoor zou een aanvaller bijvoorbeeld via een kwetsbaar cgi-script zijn eigen code op een systeem kunnen uitvoeren.
De kwetsbaarheid kan worden misbruikt door een aantal tekens, gevolgd door code, toe te voegen aan een environment-variabele, schrijft Red Hat op zijn beveiligingsblog. Zodra vervolgens een bash-sessie wordt geopend, blijkt die code te worden uitgevoerd.
De bash-shell is in OS X en vrijwel alle Linux-distributies aanwezig en laat de gebruiker via de command-line instructies uitvoeren. Ook software kan de shell gebruiken om instructies uit te voeren. Het op Linux gebaseerde Android is standaard niet kwetsbaar, tenzij een gebruiker zelf bash heeft geïnstalleerd, bijvoorbeeld via een custom rom. Een patch voor de Linux-versie van bash is beschikbaar; voor OS X nog niet. Diverse distrubuties zoals Debian en Ubuntu hebben al een update klaar staan die gebruikers kunnen installeren.
De kwetsbaarheid is op verschillende manieren te misbruiken; bash-shells kunnen bijvoorbeeld worden geopend door een cgi-script. Wanneer een website een cgi-script met een bash-shell gebruikt, is die website dus in potentie kwetsbaar voor het uitvoeren van code.
Gebruikers die willen weten of hun systeem kwetsbaar is, kunnen een simpele test uitvoeren door de code env x='() { :;}; echo kwetsbaar' bash -c "echo dit is een test" uit te voeren in een shell. Wordt 'kwetsbaar' getoond, dan is het systeem in kwestie kwetsbaar.
Bron: tweakers.net
De kwetsbaarheid kan worden misbruikt door een aantal tekens, gevolgd door code, toe te voegen aan een environment-variabele, schrijft Red Hat op zijn beveiligingsblog. Zodra vervolgens een bash-sessie wordt geopend, blijkt die code te worden uitgevoerd.
De bash-shell is in OS X en vrijwel alle Linux-distributies aanwezig en laat de gebruiker via de command-line instructies uitvoeren. Ook software kan de shell gebruiken om instructies uit te voeren. Het op Linux gebaseerde Android is standaard niet kwetsbaar, tenzij een gebruiker zelf bash heeft geïnstalleerd, bijvoorbeeld via een custom rom. Een patch voor de Linux-versie van bash is beschikbaar; voor OS X nog niet. Diverse distrubuties zoals Debian en Ubuntu hebben al een update klaar staan die gebruikers kunnen installeren.
De kwetsbaarheid is op verschillende manieren te misbruiken; bash-shells kunnen bijvoorbeeld worden geopend door een cgi-script. Wanneer een website een cgi-script met een bash-shell gebruikt, is die website dus in potentie kwetsbaar voor het uitvoeren van code.
Gebruikers die willen weten of hun systeem kwetsbaar is, kunnen een simpele test uitvoeren door de code env x='() { :;}; echo kwetsbaar' bash -c "echo dit is een test" uit te voeren in een shell. Wordt 'kwetsbaar' getoond, dan is het systeem in kwestie kwetsbaar.
Bron: tweakers.net
Log In of Registreer om te reageren.
Reacties
Jailbreak was al een risico voor de veiligheid maar dit heeft toch een wrange nasmaak ....