Alert GCSA-14033 - Vulnerabilita' in GNU Bash
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
**********************************************************************
Alert ID: GCSA-14033
Data: 25 Settembre 2014
Titolo: Vulnerabilita' in GNU Bash
**********************************************************************
:: Descrizione del problema
E' stata scoperta una vulnerabilita' di tipo "input validation error"
nel modo in cui Bash processa le variabili d'ambiente.
Un attaccante potrebbe sfruttare la vulnerabilita' fornendo valori di
variabili d'ambiente che includano funzioni Bash seguite da ulteriore
codice malevolo. Dato che certi servizi e applicazioni, sotto certe
condizioni, permettono ad utenti non autenticati di modificare le
variabili d'ambiente questo mette un attaccante in grado di sfruttare
la vulnerabilita ed eseguire comandi nella shell.
Ulteriori dettagli disponibili nella sezione Riferimenti.
:: Piattaforme e Software interessati
GNU Bash
Tutti i sistemi Linux e Unix
Tutti i software che usano GNU Bash shell
:: Impatto
Esecuzione di codice arbitrario
Denial of Service
Accesso al sistema
:: Soluzione
Aggiornare GNU Bash all'ultima versione disponibile per il sistema
operativo in uso.
E' anche disponibile una patch del produttore scaricabile da:
http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-017
http://ftp.gnu.org/gnu/bash/bash-3.1-patches/bash31-018
http://ftp.gnu.org/gnu/bash/bash-3.2-patches/bash32-052
http://ftp.gnu.org/gnu/bash/bash-4.0-patches/bash40-039
http://ftp.gnu.org/gnu/bash/bash-4.1-patches/bash41-012
http://ftp.gnu.org/gnu/bash/bash-4.2-patches/bash42-048
http://ftp.gnu.org/gnu/bash/bash-4.3-patches/bash43-025
Purtroppo la patch si e' rivelata incompleta, consultare al rigurado
la sezione Riferimenti
:: Verificare se il sistema e' vulnerabile
In locale, nella shell bash lanciare:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
Risultato: si e' vulnerabili se compare la scritta "vulnerable"
Un sistema non e' vulnerabile se risponde:
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x
Da remoto, interrogando determinate url affette dalla vulnerabilita' (es. apache/mod_cgi):
curl -A "() { :; }; echo; echo VULNERABLE;" [url]
Risultato: in un sistema vulnerabile apparira' come prima riga "VULNERABLE"
Il test piu' affidabile e' quello effettuato in locale.
:: Riferimenti
Security Tracker
http://www.securitytracker.com/id/1030890
Security Focus
http://www.securityfocus.com/bid/70103/
Advisory RedHat
https://access.redhat.com/articles/1200223
https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environment-variables-code-injection-attack/
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2014-6271
Redhat
https://rhn.redhat.com/errata/RHSA-2014-1293.html
https://rhn.redhat.com/errata/RHSA-2014-1294.html
https://rhn.redhat.com/errata/RHSA-2014-1295.html
Ubuntu
http://www.ubuntu.com/usn/usn-2362-1/
Mandriva
http://www.mandriva.com/en/support/security/advisories/mbs1/MDVSA-2014%3A186/
SANS Diary
https://isc.sans.edu/forums/diary/Attention+NIX+admins+time+to+patch+/18703
https://isc.sans.edu/forums/diary/Update+on+CVE-2014-6271+Vulnerability+in+bash+shellshock/18707
Mitre CVE
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-6271
GARR CERT Newsletter subscribe/unsubscribe:
http://testcert.dir.garr.it/index.php/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.13 (GNU/Linux)
iEYEARECAAYFAlQkIyQACgkQwZxMk2USYEKf6ACgtvgytBpRmIQlRAVpxhI4pjZq
tY4AoLKRrWZ9GQ+QETHGtpXJgOaKMDt1
=W5nr
-----END PGP SIGNATURE-----
Hash: SHA1
**********************************************************************
Alert ID: GCSA-14033
Data: 25 Settembre 2014
Titolo: Vulnerabilita' in GNU Bash
**********************************************************************
:: Descrizione del problema
E' stata scoperta una vulnerabilita' di tipo "input validation error"
nel modo in cui Bash processa le variabili d'ambiente.
Un attaccante potrebbe sfruttare la vulnerabilita' fornendo valori di
variabili d'ambiente che includano funzioni Bash seguite da ulteriore
codice malevolo. Dato che certi servizi e applicazioni, sotto certe
condizioni, permettono ad utenti non autenticati di modificare le
variabili d'ambiente questo mette un attaccante in grado di sfruttare
la vulnerabilita ed eseguire comandi nella shell.
Ulteriori dettagli disponibili nella sezione Riferimenti.
:: Piattaforme e Software interessati
GNU Bash
Tutti i sistemi Linux e Unix
Tutti i software che usano GNU Bash shell
:: Impatto
Esecuzione di codice arbitrario
Denial of Service
Accesso al sistema
:: Soluzione
Aggiornare GNU Bash all'ultima versione disponibile per il sistema
operativo in uso.
E' anche disponibile una patch del produttore scaricabile da:
http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-017
http://ftp.gnu.org/gnu/bash/bash-3.1-patches/bash31-018
http://ftp.gnu.org/gnu/bash/bash-3.2-patches/bash32-052
http://ftp.gnu.org/gnu/bash/bash-4.0-patches/bash40-039
http://ftp.gnu.org/gnu/bash/bash-4.1-patches/bash41-012
http://ftp.gnu.org/gnu/bash/bash-4.2-patches/bash42-048
http://ftp.gnu.org/gnu/bash/bash-4.3-patches/bash43-025
Purtroppo la patch si e' rivelata incompleta, consultare al rigurado
la sezione Riferimenti
:: Verificare se il sistema e' vulnerabile
In locale, nella shell bash lanciare:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
Risultato: si e' vulnerabili se compare la scritta "vulnerable"
Un sistema non e' vulnerabile se risponde:
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x
Da remoto, interrogando determinate url affette dalla vulnerabilita' (es. apache/mod_cgi):
curl -A "() { :; }; echo; echo VULNERABLE;" [url]
Risultato: in un sistema vulnerabile apparira' come prima riga "VULNERABLE"
Il test piu' affidabile e' quello effettuato in locale.
:: Riferimenti
Security Tracker
http://www.securitytracker.com/id/1030890
Security Focus
http://www.securityfocus.com/bid/70103/
Advisory RedHat
https://access.redhat.com/articles/1200223
https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environment-variables-code-injection-attack/
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2014-6271
Redhat
https://rhn.redhat.com/errata/RHSA-2014-1293.html
https://rhn.redhat.com/errata/RHSA-2014-1294.html
https://rhn.redhat.com/errata/RHSA-2014-1295.html
Ubuntu
http://www.ubuntu.com/usn/usn-2362-1/
Mandriva
http://www.mandriva.com/en/support/security/advisories/mbs1/MDVSA-2014%3A186/
SANS Diary
https://isc.sans.edu/forums/diary/Attention+NIX+admins+time+to+patch+/18703
https://isc.sans.edu/forums/diary/Update+on+CVE-2014-6271+Vulnerability+in+bash+shellshock/18707
Mitre CVE
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-6271
GARR CERT Newsletter subscribe/unsubscribe:
http://testcert.dir.garr.it/index.php/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.13 (GNU/Linux)
iEYEARECAAYFAlQkIyQACgkQwZxMk2USYEKf6ACgtvgytBpRmIQlRAVpxhI4pjZq
tY4AoLKRrWZ9GQ+QETHGtpXJgOaKMDt1
=W5nr
-----END PGP SIGNATURE-----