Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Bash-Lücke: Die Hintergründe zu…

Sind auch Webserver mit PHP betroffen?

  1. Thema

Neues Thema Ansicht wechseln


  1. Sind auch Webserver mit PHP betroffen?

    Autor: mkkgkl3d 26.09.14 - 10:47

    Ich lese immer von CGI, aber sind auch PHP Anwendungen die Scripte mit system() aufrufen betroffen?

    Und generell, bin ich mir unsicher:
    Ist der Fehler mit den Webservern nur nutzbar, wenn in den HTTP-Paketen Text eingebaut werden kann, der in der Web-Anwendung als System-Aufruf direkt an bash übergeben wird?
    Aber wenn hardcodiert bash aus CGI/PHP aufgerufen wird, ohne das über den Client ein Zeichen in den system() String übertragen wird, besteht doch keine Gefahr - oder?

  2. Ja

    Autor: Missingno. 26.09.14 - 12:31

    Wie hier erläutert:
    > Das betrifft in PHP etwa die Befehle system() und exec(), in C die Befehle system() und popen() und in Python die Befehle os.system() und os.popen().

    > Aber wenn hardcodiert bash aus CGI/PHP aufgerufen wird, ohne das über den Client ein Zeichen in den system() String übertragen wird, besteht doch keine Gefahr - oder?
    Zumindest nicht unmittelbar. In diesem Fall bräuchte es noch einen weiteren Angriffsvektor um den "hardcodierte" String zu manipulieren.

    --
    Dare to be stupid!

  3. Re: Sind auch Webserver mit PHP betroffen?

    Autor: bummelbär 26.09.14 - 12:49

    Wenn der Angreifer den Befehl nicht beeinflussen kann, besteht auch keine Gefahr. Fast alle Dienste laufen heute nicht mehr unter dem root-Account. Das heißt selbst mit der Bashlücke ist die maximale Rechtemöglichkeit die des Dienstes. Eine weitere Lücke bräuchte man um dann lokal Rootrechte zu ergattern. Danach ist alles offen.
    Es ist also nicht ganz so schlimm, wie man es liest. Aber es ist so schlimm, dass dringend gehandelt werden muss. :)



    2 mal bearbeitet, zuletzt am 26.09.14 12:51 durch bummelbär.

  4. Re: Sind auch Webserver mit PHP betroffen?

    Autor: GodsBoss 28.09.14 - 19:22

    > Ich lese immer von CGI, aber sind auch PHP Anwendungen die Scripte mit
    > system() aufrufen betroffen?
    >
    > Und generell, bin ich mir unsicher:
    > Ist der Fehler mit den Webservern nur nutzbar, wenn in den HTTP-Paketen
    > Text eingebaut werden kann, der in der Web-Anwendung als System-Aufruf
    > direkt an bash übergeben wird?
    > Aber wenn hardcodiert bash aus CGI/PHP aufgerufen wird, ohne das über den
    > Client ein Zeichen in den system() String übertragen wird, besteht doch
    > keine Gefahr - oder?

    Wenn PHP über CGI aufgerufen wird und die Bash nicht gepatcht ist, reicht ein Aufruf von system, um den Fehler ausnutzen zu können und beliebige Befehle mit den gleichen Rechten, wie sie das Skript hat, auszuführen. Was dabei mit system ausgeführt wird, ist komplett egal, auch ein system('true') reicht aus.
    Wird PHP via mod_php ausgeführt, greift die Sicherheitslücke nicht, behauptet zumindest Redhats Blog-Beitrag dazu.

    Durch User-Eingaben in system-Aufrufen kann man sich natürlich auch Lücken zusammenbauen, das ist aber unabhängig von der Bash-Lücke.

    Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. PUREN Pharma GmbH & Co. KG, München
  2. Hays AG, Frankfurt am Main
  3. Autobahn Tank & Rast Gruppe, Bonn
  4. Jobware GmbH, Paderborn

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 0,49€
  2. 2,99€
  3. 3,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Bandlaufwerke als Backupmedium: Wie ein bisschen Tetris spielen
Bandlaufwerke als Backupmedium
"Wie ein bisschen Tetris spielen"

Hinter all den modernen Computern rasseln im Keller heutzutage noch immer Bandlaufwerke vor sich hin - eine der ältesten digitalen Speichertechniken. Golem.de wollte wissen, wie das im modernen Rechenzentrum aussieht und hat das GFZ Potsdam besucht, das Tape für Backups nutzt.
Von Oliver Nickel


    Nuki Smart Lock 2.0 im Test: Tolles Aufsatzschloss hat Software-Schwächen
    Nuki Smart Lock 2.0 im Test
    Tolles Aufsatzschloss hat Software-Schwächen

    Mit dem Smart Lock 2.0 macht Nuki Türschlösser schlauer und Türen bequemer. Kritisierte Sicherheitsprobleme sind beseitigt worden, aber die Software zeigt noch immer Schwächen.
    Ein Test von Ingo Pakalski


      IT-Forensikerin: Beweise sichern im Faradayschen Käfig
      IT-Forensikerin
      Beweise sichern im Faradayschen Käfig

      IT-Forensiker bei der Bundeswehr sichern Beweise, wenn Soldaten Dienstvergehen oder gar Straftaten begehen, und sie jagen Viren auf Militärcomputern. Golem.de war zu Gast im Zentrum für Cybersicherheit, das ebenso wie die IT-Wirtschaft um guten Nachwuchs buhlt.
      Eine Reportage von Maja Hoock

      1. Homeoffice Wenn der Arbeitsplatz so anonym ist wie das Internet selbst
      2. Bundesagentur für Arbeit Informatikjobs bleiben 132 Tage unbesetzt
      3. IT-Headhunter ReactJS- und PHP-Experten verzweifelt gesucht

      1. Videostreaming: Netflix und Amazon Prime Video locken mehr Kunden
        Videostreaming
        Netflix und Amazon Prime Video locken mehr Kunden

        Der Videostreamingmarkt in Deutschland wächst weiter. Vor allem Netflix und Amazon Prime Video profitieren vom Zuwachs in diesem Bereich.

      2. Huawei: Werbung auf Smartphone-Sperrbildschirmen war ein Versehen
        Huawei
        Werbung auf Smartphone-Sperrbildschirmen war ein Versehen

        Besitzer von Huawei-Smartphones sollten keine Werbung mehr auf dem Sperrbildschirm sehen. Der chinesische Hersteller hatte kürzlich Werbebotschaften auf seinen Smartphones ausgeliefert - ungeplant.

      3. TV-Serie: Sky sendet Chernobyl-Folge mit Untertiteln einer Fanseite
        TV-Serie
        Sky sendet Chernobyl-Folge mit Untertiteln einer Fanseite

        Der Pay-TV-Sender Sky hat die Serie Chernobyl in der Schweiz mit Untertiteln ausgestrahlt, die von einer Fan-Community erstellt wurden. Wie die inoffiziellen Untertitelspur in die Serie gelangt ist, ist unklar.


      1. 12:24

      2. 12:09

      3. 11:54

      4. 11:33

      5. 14:32

      6. 12:00

      7. 11:30

      8. 11:00