Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (26.09.2014):
Juniper Networks, IBM, F5 Networks, Canonical, Debian und Red Hat stellen
neue Informationen bereit.
Version 1 (25.09.2014):
Neues Advisory

Betroffene Software:

Bash <= 4.3 Betroffene Plattformen: F5 Networks BIG-IP Protocol Security Module (PSM) >= 10.0.0
F5 Networks BIG-IP Protocol Security Module (PSM) <= 10.2.4 F5 Networks BIG-IP Protocol Security Module (PSM) >= 11.0.0
F5 Networks BIG-IP Protocol Security Module (PSM) <= 11.4.1 Juniper Junos Space Juniper Security Threat Response Manager (STRM) Juniper Junos Space Appliance JA1500 Juniper Junos Space Appliance JA2500 Juniper Secure Access Canonical Ubuntu Linux 10.04 Lts Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 14.04 Lts Debian Linux 7.6 Wheezy GNU/Linux Red Hat Enterprise Linux 4 Extended Life Cycle Support Red Hat Enterprise Linux 5 Red Hat Enterprise Linux 6 Red Hat Enterprise Linux Desktop 5 Client Red Hat Enterprise Linux Desktop 6 Red Hat Enterprise Linux Desktop 7 Red Hat Enterprise Linux HPC Node 6 Red Hat Enterprise Linux HPC Node 7 Red Hat Enterprise Linux Server 5 Red Hat Enterprise Linux Server 5.6 Long Life Red Hat Enterprise Linux Server 5.9 Long Life Red Hat Enterprise Linux Server 5.9.z EUS Red Hat Enterprise Linux Server 6 Red Hat Enterprise Linux Server 6.2 AUS Red Hat Enterprise Linux Server 6.4 AUS Red Hat Enterprise Linux Server 6.4.z EUS Red Hat Enterprise Linux Server 6.5 AUS Red Hat Enterprise Linux Server 6.5.z EUS Red Hat Enterprise Linux Server 7 Red Hat Enterprise Linux Workstation 6 Red Hat Enterprise Linux Workstation 7 Red Hat Fedora 19 Eine Schwachstelle in GNU Bash ermöglicht einem entfernten, nicht authentifizierten Angreifer, beliebigen Programmcode zur Ausführung zu bringen. Die Schwachstelle CVE-2014-6271 wurde durch einen Patch bisher nur unzureichend gefixt und die GNU Bash ist weiterhin verwundbar. Daher wurde die Schwachstelle CVE-2014-7169 angelegt, für die ein Patch in Kürze erwartet wird. Bis ein umfassendes Sicherheitsupdate verfügbar ist, kann ein von Red Hat veröffentlichter Workaround angewendet werden, die Referenz darauf findet sich anbei. Update 1: Juniper Networks informiert über die Verwundbarkeit von Junos Space in allen Versionen, der Junos Space Appliance JA1500 und JA2500, sowie der Juniper Secure Access Serie mit Security Threat Response Manager (STRM). Aktuell wird noch an der Bereitstellung von Sicherheitsupdates gearbeitet, die dann über das Advisory (Referenz anbei) veröffentlicht werden. IBM hat noch keine Informationen zu den betroffenen Produkten veröffentlicht, sondern stellt nur die angegebene Referenz zur Verfügung, über die weitere Erkenntnisse veröffentlicht werden sollen. F5 Networks informiert über die Angreifbarkeit aller BIG-IP PSM Versionen und weiterer F5 Networks Produkte. Zur Zeit ist kein Sicherheitsupdate verfügbar, als Mitigation ist derzeit nur eine Einschränkung des Systemzugriffs möglich. Für die Distributionen Ubuntu 10.04 LTS, Ubuntu 12.04 LTS, Ubuntu 14.04 LTS, Debian Wheezy und verschiedene Red Hat Enterprise Linux 5, 6 und 7 Produkte stehen weitere Sicherheitsupdates zur Verfügung, welche jetzt auch die Schwachstelle CVE-2014-7169 beheben. Patch: Debian Security Advisory DSA-3032-1 https://www.debian.org/security/2014/dsa-3032

Patch:

Fedora Security Update FEDORA-2014-11503

https://admin.fedoraproject.org/updates/FEDORA-2014-11503/bash-4.2.47-2.fc19

Patch:

Red Hat Security Advisory RHSA-2014:1293

http://rhn.redhat.com/errata/RHSA-2014-1293.html

Patch:

Red Hat Security Advisory RHSA-2014:1294

http://rhn.redhat.com/errata/RHSA-2014-1294.html

Patch:

Red Hat Security Advisory RHSA-2014:1295

http://rhn.redhat.com/errata/RHSA-2014-1295.html

Patch:

Ubuntu Security Notice USN-2362-1

http://www.ubuntu.com/usn/usn-2362-1/

Patch:

Debian Security Advisory DSA-3035-1

https://www.debian.org/security/2014/dsa-3035

Patch:

F5 Networks Security Advisory sol15629

http://support.f5.com/kb/en-us/solutions/public/15000/600/sol15629.html?ref=rss

Patch:

Juniper Networks Security Advisory JSA10648

http://kb.juniper.net/index?page=content&id=JSA10648&actp=RSS

Patch:

Lotus-ADV Bash Schwachstellen

https://www-304.ibm.com/connections/blogs/PSIRT/entry/bash_vulnerable_to_cve_2014_6271_and_cve_2014_7169?lang=en_us

Patch:

Red Hat Security Advisory RHSA-2014:1306

http://rhn.redhat.com/errata/RHSA-2014-1306.html

Patch:

Ubuntu Security Notice USN-2363-1

http://www.ubuntu.com/usn/usn-2363-1/

Patch:

Ubuntu Security Notice USN-2363-2

http://www.ubuntu.com/usn/usn-2363-2/

CVE-2014-7169: Schwachstelle in der Behandlung von Umgebungsvariablen in GNU
Bash

GNU Bash bis Version 4.3 bash43-025 verarbeitet Zeichenketten hinter
bestimmten missgestalteten Funktionsdefinitionen in Umgebungsvariablen. Ein
entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, um beliebige Befehle auszuführen, indem er die Umgebung
entsprechend präpariert.

Diese Schwachstelle existiert, da die Schwachstelle CVE-2014-6271 nur
unzureichend behoben wurde.

CVE-2014-6271: Schwachstelle in der Behandlung von Umgebungsvariablen in GNU
Bash

GNU Bash bis Version 4.3 bash43-025 verarbeitet Zeichenketten hinter
bestimmten Funktionsdefinitionen in den Werten von Umgebungsvariablen. Ein
entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, um beliebige Befehle auszuführen, indem er die Umgebung
entsprechend präpariert.

Diese Schwachstelle hat weitreichende Auswirkungen auf Systemen, wo /bin/sh
zu /bin/bash verlinkt wird. Dort wird andere Software wie PHP, OpenSSH,
CGI-Skripte, …, die Funktionen wie popen() oder system() benutzen,
verwundbar für Angriffe über Umgebungvariablen wie z.B. HTTP_*.

Für diese Schwachstelle wurde ein Patch bereitgestellt, der diese
Schwachstelle, jedoch nicht vollständig, behebt und der möglicherweise die
Kompatibilität von bestehenden Shell-Skripten beeinträchtigt.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1258/

Debian Security Advisory DSA-3032-1:
https://www.debian.org/security/2014/dsa-3032

Fedora Security Update FEDORA-2014-11503:
https://admin.fedoraproject.org/updates/FEDORA-2014-11503/bash-4.2.47-2.fc19

Red Hat Security Advisory RHSA-2014:1293:
http://rhn.redhat.com/errata/RHSA-2014-1293.html

Red Hat Security Advisory RHSA-2014:1294:
http://rhn.redhat.com/errata/RHSA-2014-1294.html

Red Hat Security Advisory RHSA-2014:1295:
http://rhn.redhat.com/errata/RHSA-2014-1295.html

Ubuntu Security Notice USN-2362-1:
http://www.ubuntu.com/usn/usn-2362-1/

Red Hat Workaround für GNU Bash Schwachstelle CVE-2014-6271:
https://access.redhat.com/articles/1200223

Schwachstelle CVE-2014-6271 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271

Schwachstelle CVE-2014-7169 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7169

Debian Security Advisory DSA-3035-1:
https://www.debian.org/security/2014/dsa-3035

F5 Networks Security Advisory sol15629:
http://support.f5.com/kb/en-us/solutions/public/15000/600/sol15629.html?ref=rss

Juniper Networks Security Advisory JSA10648:
http://kb.juniper.net/index?page=content&id=JSA10648&actp=RSS

Lotus-ADV Bash Schwachstellen:
https://www-304.ibm.com/connections/blogs/PSIRT/entry/bash_vulnerable_to_cve_2014_6271_and_cve_2014_7169?lang=en_us

Red Hat Security Advisory RHSA-2014:1306:
http://rhn.redhat.com/errata/RHSA-2014-1306.html

Ubuntu Security Notice USN-2363-1:
http://www.ubuntu.com/usn/usn-2363-1/

Ubuntu Security Notice USN-2363-2:
http://www.ubuntu.com/usn/usn-2363-2/

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.