Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Bash-Lücke: Die Hintergründe zu…

Sind auch Webserver mit PHP betroffen?

  1. Thema

Neues Thema Ansicht wechseln


  1. Sind auch Webserver mit PHP betroffen?

    Autor: mkkgkl3d 26.09.14 - 10:47

    Ich lese immer von CGI, aber sind auch PHP Anwendungen die Scripte mit system() aufrufen betroffen?

    Und generell, bin ich mir unsicher:
    Ist der Fehler mit den Webservern nur nutzbar, wenn in den HTTP-Paketen Text eingebaut werden kann, der in der Web-Anwendung als System-Aufruf direkt an bash übergeben wird?
    Aber wenn hardcodiert bash aus CGI/PHP aufgerufen wird, ohne das über den Client ein Zeichen in den system() String übertragen wird, besteht doch keine Gefahr - oder?

  2. Ja

    Autor: Missingno. 26.09.14 - 12:31

    Wie hier erläutert:
    > Das betrifft in PHP etwa die Befehle system() und exec(), in C die Befehle system() und popen() und in Python die Befehle os.system() und os.popen().

    > Aber wenn hardcodiert bash aus CGI/PHP aufgerufen wird, ohne das über den Client ein Zeichen in den system() String übertragen wird, besteht doch keine Gefahr - oder?
    Zumindest nicht unmittelbar. In diesem Fall bräuchte es noch einen weiteren Angriffsvektor um den "hardcodierte" String zu manipulieren.

    --
    Dare to be stupid!

  3. Re: Sind auch Webserver mit PHP betroffen?

    Autor: bummelbär 26.09.14 - 12:49

    Wenn der Angreifer den Befehl nicht beeinflussen kann, besteht auch keine Gefahr. Fast alle Dienste laufen heute nicht mehr unter dem root-Account. Das heißt selbst mit der Bashlücke ist die maximale Rechtemöglichkeit die des Dienstes. Eine weitere Lücke bräuchte man um dann lokal Rootrechte zu ergattern. Danach ist alles offen.
    Es ist also nicht ganz so schlimm, wie man es liest. Aber es ist so schlimm, dass dringend gehandelt werden muss. :)



    2 mal bearbeitet, zuletzt am 26.09.14 12:51 durch bummelbär.

  4. Re: Sind auch Webserver mit PHP betroffen?

    Autor: GodsBoss 28.09.14 - 19:22

    > Ich lese immer von CGI, aber sind auch PHP Anwendungen die Scripte mit
    > system() aufrufen betroffen?
    >
    > Und generell, bin ich mir unsicher:
    > Ist der Fehler mit den Webservern nur nutzbar, wenn in den HTTP-Paketen
    > Text eingebaut werden kann, der in der Web-Anwendung als System-Aufruf
    > direkt an bash übergeben wird?
    > Aber wenn hardcodiert bash aus CGI/PHP aufgerufen wird, ohne das über den
    > Client ein Zeichen in den system() String übertragen wird, besteht doch
    > keine Gefahr - oder?

    Wenn PHP über CGI aufgerufen wird und die Bash nicht gepatcht ist, reicht ein Aufruf von system, um den Fehler ausnutzen zu können und beliebige Befehle mit den gleichen Rechten, wie sie das Skript hat, auszuführen. Was dabei mit system ausgeführt wird, ist komplett egal, auch ein system('true') reicht aus.
    Wird PHP via mod_php ausgeführt, greift die Sicherheitslücke nicht, behauptet zumindest Redhats Blog-Beitrag dazu.

    Durch User-Eingaben in system-Aufrufen kann man sich natürlich auch Lücken zusammenbauen, das ist aber unabhängig von der Bash-Lücke.

    Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. über Kienbaum Consultants International GmbH, Stuttgart
  2. Ledermann GmbH & Co. KG, Horb am Neckar
  3. Dataport, Magdeburg, Halle (Saale)
  4. AWEK microdata GmbH, Bielefeld

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Kingston A400 2-TB-SSD für 159,90€, AMD Upgrade-Bundle mit Radeon RX 590 + Ryzen 7...
  2. 349,99€
  3. 229,99€
  4. 43,99€ (Bestpreis!)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Cyberangriffe: Attribution ist wie ein Indizienprozess
Cyberangriffe
Attribution ist wie ein Indizienprozess

Russland hat den Bundestag gehackt! China wollte die Bayer AG ausspionieren! Bei großen Hackerangriffen ist oft der Fingerzeig auf den mutmaßlichen Täter nicht weit. Knallharte Beweise dafür gibt es selten, Hinweise sind aber kaum zu vermeiden.
Von Anna Biselli

  1. Double Dragon APT41 soll für Staat und eigenen Geldbeutel hacken
  2. Internet of Things Neue Angriffe der Hackergruppe Fancy Bear
  3. IT-Security Hoodie-Klischeebilder sollen durch Wettbewerb verschwinden

Rabbids Coding angespielt: Hasenprogrammierung für Einsteiger
Rabbids Coding angespielt
Hasenprogrammierung für Einsteiger

Erst ein paar einfache Anweisungen, dann folgen Optimierungen: Mit dem kostenlos erhältlichen PC-Lernspiel Rabbids Coding von Ubisoft können Jugendliche und Erwachsene ein bisschen über Programmierung lernen und viel Spaß haben.
Von Peter Steinlechner

  1. Transport Fever 2 angespielt Wachstum ist doch nicht alles
  2. Mordhau angespielt Die mit dem Schwertknauf zuschlagen
  3. Bus Simulator angespielt Zwischen Bodenschwelle und Haltestelle

Funkstandards: Womit funkt das smarte Heim?
Funkstandards
Womit funkt das smarte Heim?

Ob Wohnung oder Haus: Smart soll es bitte sein. Und wenn das nicht von Anfang an klappt, soll die Nachrüstung zum Smart Home so wenig aufwendig wie möglich sein. Dafür kommen vor allem Funklösungen infrage, wir stellen die gebräuchlichsten vor.
Von Jan Rähm

  1. Local Home SDK Google bietet SDK für Smarthomesteuerung im lokalen Netzwerk
  2. GE Smarte Lampe mit 11- bis 13-stufigem Resetverfahren
  3. IoT Smart Homes ohne Internet, geht das? Ja!

  1. BDI: Industrie für schnelle 5G-Errichtung statt Vertrauensschwüre
    BDI
    Industrie für schnelle 5G-Errichtung statt Vertrauensschwüre

    Die deutsche Industrie will keine Vertrauenswürdigkeitserklärung von den 5G-Ausrüstern einholen müssen. Diese Erklärungen seien wirkungslos, gefragt sei dagegen Cyber-Resilienz.

  2. Watch Parties: Twitch ermöglicht Streamern Filmabende mit Followern
    Watch Parties
    Twitch ermöglicht Streamern Filmabende mit Followern

    Gemeinsam im kleinen oder großen Kreis einen Spiefilm oder eine TV-Serie per Streaming anschauen: Das können Influencer künftig auf Twitch - vorerst allerdings nur in den USA.

  3. Smartspeaker: Belauschen mit Alexa- und Google-Home-Apps
    Smartspeaker
    Belauschen mit Alexa- und Google-Home-Apps

    Mit verschiedenen Tricks gelang es Sicherheitsforschern, Apps für Google Home und Amazons Alexa zu erzeugen, die Nutzer belauschen oder Phishingangriffe durchführen. Die Apps überstanden den Review-Prozess von Google und Amazon.


  1. 18:53

  2. 17:38

  3. 17:23

  4. 16:54

  5. 16:39

  6. 15:47

  7. 15:00

  8. 13:27