Impact ‘Shell Shock’ bug op OS X laag

12 reacties

Vandaag werd bekend dat zowel OS X als Linux vatbaar zijn voor een bug die ‘Shell Shock’ heet. In theorie kan hierdoor op ieder apparaat vanaf afstand code uitgevoerd worden. Volgens nieuwsberichten een enorm beveiligingsprobleem.

Het is geen toeval dat zowel Linux als OS X vatbaar zijn. Beide systemen hebben een commandline waar opdrachten ingevoerd kunnen worden, ook bekend als de terminal. Door Shell Shock is het mogelijk om op afstand commando’s op die terminal uit te voeren, daarbij kunnen kwaadwillenden praktisch alles. Toch is de impact op de gemiddelde OS X-gebruiker laag.

Hoewel OS X technisch kwetsbaar is, moet een kwaadwillende eerst een ingang hebben. Die ingang kan een webserver of toegang tot de terminal op afstand zijn. De gemiddelde gebruiker draait geen web- of terminal-server. Als deze aan zouden staan, zou een router directe toegang alsnog verhinderen.
Schermafbeelding 2014-09-25 om 23.55.22

De bug is dus voor de meeste OS X-gebruikers geen acute bedreiging, maar voor apparaten die op Linux zijn gebaseerd is het ernstig. Linux wordt vaak gebruikt op webservers, die dienen voor iedereen op internet bereikbaar te zijn en hebben dus een ingang. Ook apparaten als hotspots, modems en webcams hebben vaak een webserver en zijn op Linux gebaseerd.

Grote Linux-versies hebben inmiddels updates uitgebracht om het lek te dichten. Apple heeft nog niet gereageerd, maar zal zeer waarschijnlijk snel volgen. Echt problematisch wordt het bij apparaten die niet snel van updates worden voorzien, zoals netwerkprinters en modems.
env x='() { :;}; echo vulnerable' bash -c 'echo hello'
Door de terminal op OS X te openen en bovenstaande regel erin te plakken, is te testen of je computer kwetsbaar is. De redactie heeft geverifieerd dat zowel OS X 10.9.5 als de laatste beta van OS X Yosemite kwetsbaar zijn.

  • Technische details over ‘Shell Shock’ zijn op Redhat Blog te vinden.

Reacties

12 reacties
  • Profielfoto
    Bor

    Het is geen toeval dat zowel Linux als OS X vatbaar zijn. Beide systemen hebben een commandline waar opdrachten ingevoerd kunnen worden, ook wel bekend als de terminal.

    Deze redenering is toch wel een beetje krom en simplistisch. Het probleem komt niet zozeer doordat beide systemen een commandline hebben, maar doordat ze beide bash scripts draaien (en dat die eventueel ook via ssh of telnet oid aan te roepen zijn).

  • Profielfoto
    koen

    Hier is de juiste code, let op dat de aanhalingstekens recht zijn, en niet gekruld.

     
    env x='() { :;}; echo vulnerable' bash -c 'echo hello'
     
  • Profielfoto
    Raymon Mens

    Het is geen toeval dat zowel Linux als OS X vatbaar zijn. Beide systemen hebben een commandline waar opdrachten ingevoerd kunnen worden, ook wel bekend als de terminal.

    Deze redenering is toch wel een beetje krom en simplistisch. Het probleem komt niet zozeer doordat beide systemen een commandline hebben, maar doordat ze beide bash scripts draaien (en dat die eventueel ook via ssh of telnet oid aan te roepen zijn).

    Dat weet jij, dat weet ik, maar het is hier geen tweakers;) . Daarom deze simplistische uitleg gekozen en ‘bash’ door ‘commandline’ en ‘ssh en telnet’ door ‘een ingang’ vervangen.

  • Profielfoto
    madcat

    Op deze website: http://blog.erratasec.com/
    Staat een artikel dat je via het opvragen van een pagina van een webserver waar CGI op staat een bash script kan uitvoeren.

    Dit is vooral een issue voor linux wat ongeveer 90% van alle webservers is.
    Wel jammer dat de media zo graag apple wilt combineren met security issues, natuurlijk is de macmini intressant als webserver maar de meeste mensen gebruiken OSX als client.

  • Profielfoto
    Le Big Mac
  • Profielfoto
    MacAanZee

    En kunnen jullie ook melden wat voor antwoord je moet zien als je Mac wel of niet kwetsbaar is hiervoor?!

    Ik kreeg dit retour op de iMac van mijn werk:

    -bash: syntax error near unexpected token `(‘

    En daar begrijp ik dus helemaal niets van!

  • Profielfoto
    koen

    @MacAanZee: Zie mijn post hierboven, zorg dat je de juiste aahalingstekens gebruikt. Als er dan het woord ‘vulnerable’ verschijnt, is je Mac lwetsbaar.

  • Profielfoto
    MacAanZee

    @Koen: Ik heb jouw juiste code zin gebruikt, maar het antwoord dat ik kreeg staat hierboven in mijn vorige post. Ik weet alleen niet wat dit betekent: wel of niet kwetsbaar?

  • Profielfoto
    koen

    Voor mij werkt het wel, en het antwoord is ‘vulnerable’. Let op met copy-paste, dan wil dat aanhalingsteken wel eens veranderen.

    Ik zou me er verder weinig druk over maken.

  • Profielfoto
    Tony smeT

    “Beide systemen hebben een commandline waar opdrachten ingevoerd kunnen worden, ook bekend als de terminal.”
    En windows heeft dat niet?
    DOS 3.11 is dus ook kwetsbaar?:)

    Fijn dat je ’t zelf een simplistische uitleg noemt Raymon, maar ik zou toch opteren voor “beide systemen zijn gebaseerd op Unix”

  • Profielfoto
    MacKevin11

    Dus een mac is alleen kwetsbaar wanneer je hem gebruikt als webserver..? Programma’s en websites kunnen er niks mee? Waar doen we dan zo moeilijk over als gewone gebruikers?

  • Profielfoto
    Optimistje

    Het is geen toeval dat zowel Linux als OS X vatbaar zijn. Beide systemen hebben een commandline waar opdrachten ingevoerd kunnen worden, ook wel bekend als de terminal.

    Deze redenering is toch wel een beetje krom en simplistisch. Het probleem komt niet zozeer doordat beide systemen een commandline hebben, maar doordat ze beide bash scripts draaien (en dat die eventueel ook via ssh of telnet oid aan te roepen zijn).

    Dat weet jij, dat weet ik, maar het is hier geen tweakers;) . Daarom deze simplistische uitleg gekozen en ‘bash’ door ‘commandline’ en ‘ssh en telnet’ door ‘een ingang’ vervangen.

    Of XDA-Developers…