Varsel: Alvorlig sårbarhet oppdaget
Sårbarheten må først og fremst håndteres av fagfolk. For folk flest er det viktigste at programmer er oppdatert på PC, mobil og andre enheter.
NSM har i dag varslet alle varselmottakere på våre lister. Der blir de bedt om å undersøke om de har sårbare systemer, oppdatere alle systemer med oppdatert utgave av «Bash», og vurdere eventuelle konsekvenser. Vi samarbeider tett med norske internettleverandører, ISP-er, for å følge med på situasjonen og ha oversikt.
Dette er en alvorlig sårbarhet, fordi den potensielt kan berøre svært mange systemer. Mange webservere over hele verden benytter Bash i ulike tjenester.
Sårbarheten finnes i Linuxmaskiner og også Apples datamaskiner. For å utnytte sårbarheten uten fysisk tilgang må den sårbare enheten være eksponert på internett for eksempel via en webserver. Det er mye mer teknisk utfordrende for eksempel å prøve å utnytte sårbarheten på en PC eller Mac-maskin. Verken iPhone eller iPad har installert Bash som standard.
Hva vi vet:
Alle enheter som har Bash installert er i utgangspunktet sårbare.
Det er en kritisk sårbarhet som påvirker GNU Bourne Again Shell (bash), som brukes i mange såkalte *nix -baserte operativsystemer. Sårbarheten er knyttet til hvordan miljøets variabler blir behandlet og gir mulighet for ekstern kjøring av kode, slik at en angriper kan kjøre kommandoer i sårbare systemer.
Webservere bør prioriteres høyt når oppdateringer skal gjennomføres.
NSM og andre sikkerhetsmiljøer over hele verden jobber aktivt med å undersøke saken.
Ytterligere detaljer:
Denne sårbarheten har fått ID CVE-2014-6271 (https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271), og er kategorisert på samme nivå som Heartbleed-sårbarheten, som fikk mye oppmerksomhet tidligere i år.
Det er sikkerhetsoppdateringer tilgjengelig for mange av de store Linux-distribusjonene, for eksempel:
- Red Hat Enterprise Linux (versjon 4 til 7) og Fedora distribusjon
- CentOS (versjon 5 til 7) (http://lists.centos.org/pipermail/centos/2014-September/146099.html)
- Ubuntu 10.04 LTS, 12.04 LTS og 14.04 LTS (http://www.ubuntu.com/usn/usn-2362-1/)
- Debian (https://lists.debian.org/debian-security-announce/2014/msg00220.html)
Sikkerhetsoppdateringen som foreligger nå dekker ikke alt, og er ikke fullstendig. Vi anbefaler likevel å installere alle tilgjengelige oppdateringer.
Flere innfallsvinkler til sårbarheten er fremdeles til stede. Etter denne er det kommet en ny relatert sårbarhet, med ID CVE-2014-7169 (https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7169.
Den følgende artikkelen gir en god forklaring på hvordan CVE-2014-6271 og CVE-2014-7169 kan utnyttes: http://lcamtuf.blogspot.no/2014/09/quick-notes-about-bash-bug-its-impact.html
Du kan kontrollere om et system er sårbart ved å oppgi denne kommandoen:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
Dersom systemet er sårbart, blir resultatet:
vulnerable
this is a test
Et ikke-sårbart eller oppdatert system vil gi dette resultatet:
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test