ShellShock – Sicherheitslücke in der Standard-Shell Bash

Veröffentlicht am 01 Okt. 2014 von

 

In den Medien liest man aktuell viel über die als „Shellshock“ bezeichnete Sicherheitslücke in einer der wichtigsten Shells: Bash.

 

Die Faktenlage hierzu:

  • Es ist nicht generell ein bestimmtes Betriebssystem betroffen. Ob die Sicherheitslücke auf dem Zielsystem ausgenutzt werden kann, hängt davon ab, ob die GNU-Bash als Shell auf dem jeweiligen System zum Einsatz kommt.
  • Aktuell laufen „nur“ Angriffe auf Webserver, bei denen Skripte über die Bash ausgeführt werden.
  • Die meisten Systeme unserer Hersteller sind nur nach Login – sprich durch eine erfolgreiche Anmeldung auf dem System und die Übergabe entsprechender Parameter an die Bash-Shell – angreifbar.
  • Ebenfalls ein Gefährdungspotenzial geht von korrumpierten DHCP-Servern, dem Druckerdienst CUPS und SIP-Proxies aus. Details siehe http://de.wikipedia.org/wiki/Shellshock_(Sicherheitslücke)

 

Hier ein Abriss über unser Herstellerportfolio. Über die hinterlegten Herstellerlinks finden Sie direkt aktuelle Informationen unserer Partner zum Thema ShellShock sowie Handlungsempfehlungen und gegebenenfalls Updates. Wenn Sie weitere Informationen oder Hilfe benötigen, steht Ihnen Ihr DANES Support gerne zur Seite.

 

Aruba

Bei Aruba sind nur die Produkte AirWave und Clearpass Policy Manager betroffen. Alle anderen Produkte (ArubaOS, ArubaInstant etc.) sind nicht betroffen.

Siehe: http://www.arubanetworks.com/support/alerts/aid-09252014.txt

 

BlueCoat

Einige Produkte sind betroffen, der PacketShaper jedoch nicht.

 

Cisco

Cisco IOS-Switches sind nicht betroffen. Auf Cisco Nexus-Geräten und Cisco IOS-XE müssen Updates eingespielt werden. Cisco stellt eine detaillierte Auflistung betroffener Geräte bereit.

Siehe: http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140926-bash

 

Extreme Networks

Einige Produkte, u.a. NAC, Netsight, Pureview etc. sind betroffen. XOS-Switches jedoch nicht!

Siehe: http://learn.extremenetworks.com/rs/extreme/images/VN-2014-001-%20GNU%20Bash%20Threats%20-CVE-2014-7169%20rev01.pdf

 

Fortinet

FortiOS ist nicht betroffen.

Siehe: http://blog.fortinet.com/post/shellshock-faq

 

Hirschmann

Keine Geräte sind vom Shellshock-Bug betroffen. Hirschmann setzt keine Bash-Shell ein.

 

LifeSize LifeSize meldet, dass keine Produkte vom Shellshock-Bug betroffen sind.

Siehe: http://www.lifesize.com/en/support/software-download#sthash.iRywzfhz.dpuf

 

PRTG

PRTG ist nicht betroffen.

 

Riverbed

SteelHead und Interceptor-Produkte sind von Shellshock betroffen. In aktuellen Versionen ist die Lücke behoben.

Siehe: http://supportkb.riverbed.com/support/index?page=content&id=S24997

 

Grimm-Michael

Mit freundlichen Grüßen
Michael Grimm