2014-1258: GNU Bash: Mehrere Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2014-09-25 16:40): Neues Advisory
Version 2 (2014-09-26 13:07): Juniper Networks, IBM, F5 Networks, Canonical, Debian und Red Hat stellen neue Informationen bereit.
Version 3 (2014-09-26 16:55): Informationen von SUSE und Fedora ergänzt.
Version 4 (2014-09-26 19:02): Cisco veröffentlicht ein Security Advisory.
Version 5 (2014-09-29 19:11): Es sind weitere Schwachstellen in Bash gefunden worden, die von verschiedenen Herstellern adressiert werden.
Version 6 (2014-09-30 17:04): Für Mac OS x und den SUSE Manager 1.7 für SLE 11 SP2 stehen Sicherheitsupdates zur Verfügung.
Version 7 (2014-10-01 17:25): Die Schwachstelle CVE-2014-6278 wurde in das Advisory aufgenommen. VMware, SUSE, Juniper und Cisco stellen (aktualisierte) Informationen bereit.
Version 8 (2014-10-02 18:34): Juniper und VMware stellen aktualisierte Informationen zur Verfügung.
Version 9 (2014-10-06 13:35): Für Red Hat Enterprise Virtualization 3.4, Fedora 20 und VMware stehen weitere Patches bereit.
Version 10 (2014-10-07 13:18): VMware stellt weitere Patches unter der bekannten URL bereit. Juniper veröffentlicht für die NSM Appliance mit einer CentOS 4 Basisinstallation ein Sicherheitsupdate.
Version 11 (2014-10-08 13:03): F5 Networks stellt für BIG-IP PSM ein Sicherheitsupdate 11.4.1 HF5 zur Verfügung, wie auch für eine Reihe anderer Produkte.
Version 12 (2014-10-09 17:37): Für Ubuntu 10.04 LTS, 12.04 LTS und 14.04 LTS stehen neue Sicherheitsupdates bereit.
Version 13 (2014-10-14 12:52): Von VMware werden weitere Sicherheitsupdates angeboten, die unter der bekannten URL auffindbar sind.
Version 14 (2014-10-14 16:20): Für SUSE Studio Onsite 1.3 stehen Sicherheitsupdates bereit. Für openSUSE 13.1 und 12.3 wird eine Regression behoben.
Version 15 (2014-10-20 18:13): Von VMware werden erneut weitere Sicherheitsupdates bereitgestellt. Für openSUSE 13.1 und 12.3 werden neuere Sicherheitsupdates angeboten, die eigene Patches durch die offiziellen bis Version bash42-053 ersetzen und zwei neue Patches für OpenSUSE 13.1 für die Schwachstellen CVE-2014-6277 und CVE-2014-6278 mitbringen.
Version 16 (2014-11-18 14:24): Neue Sicherheitsupdates von bash Shift_JIS Paketen werden von Red Hat für Enterprise Linux 5.9 EUS zur Verfügung gestellt.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Cisco
Juniper
Apple
Linux
Oracle
UNIX
VMware
Virtualisierung
Hypervisor

Beschreibung:

Mehrere Schwachstellen in GNU Bash ermöglichen einem entfernten, nicht authentifizierten Angreifer, beliebigen Programmcode zur Ausführung zu bringen.

Die Schwachstelle CVE-2014-6271 wurde durch einen Patch bisher nur unzureichend gefixt und die GNU Bash ist weiterhin verwundbar. Daher wurde die Schwachstelle CVE-2014-7169 angelegt, für die ein Patch in Kürze erwartet wird. Bis ein umfassendes Sicherheitsupdate verfügbar ist, kann ein von Red Hat veröffentlichter Workaround angewendet werden, die Referenz darauf findet sich anbei.

Update 1: Juniper Networks informiert über die Verwundbarkeit von Junos Space in allen Versionen, der Junos Space Appliance JA1500 und JA2500, sowie der Juniper Secure Access Serie mit Security Threat Response Manager (STRM). Aktuell wird noch an der Bereitstellung von Sicherheitsupdates gearbeitet, die dann über das Advisory (Referenz anbei) veröffentlicht werden.
IBM hat noch keine Informationen zu den betroffenen Produkten veröffentlicht, sondern stellt nur die angegebene Referenz zur Verfügung, über die weitere Erkenntnisse veröffentlicht werden sollen.
F5 Networks informiert über die Angreifbarkeit aller BIG-IP PSM Versionen und weiterer F5 Networks Produkte. Zur Zeit ist kein Sicherheitsupdate verfügbar, als Mitigation ist derzeit nur eine Einschränkung des Systemzugriffs möglich.

Für die Distributionen Ubuntu 10.04 LTS, Ubuntu 12.04 LTS, Ubuntu 14.04 LTS, Debian Wheezy und verschiedene Red Hat Enterprise Linux 5, 6 und 7 Produkte stehen weitere Sicherheitsupdates zur Verfügung, welche jetzt auch die Schwachstelle CVE-2014-7169 beheben.

Update 2: Für verschiedene SUSE Versionen stehen Sicherheitsupdates bereit, die allerdings nur die Schwachstelle CVE-2014-6271 adressieren.
Für die Distributionen Fedora 19 und Fedora 20 stehen Sicherheitsupdates für die Schwachstelle CVE-2014-7169 bereit.

Update 3: Cisco veröffentlicht ein Security Advisory mit Informationen über verwundbare, nicht verwundbare und noch in der Analyse befindliche Systeme. Das Advisory wird kontinuierlich an die aktuellen Ergebnisse angepasst, die Liste, der verwundbaren und auch hier genannten Systeme, ist nicht abschließend.

Update 4: Die andauernden Analysen haben gezeigt, dass neben den bisher bekannten Schwachstellen CVE-2014-6271 und CVE-2014-7169 noch weitere Schwachstellen in Bash vorhanden sind, denen die folgenden Schwachstellen-IDs zugeordnet wurden, die ebenfalls in diese Meldung aufgenommen wurden: CVE-2014-6277, CVE-2014-7186 und CVE-2014-7187.

Von den Herstellern gibt es die folgenden Updates:
Die Network and Security Manager Appliance von Juniper ist ebenfalls verwundbar. Für JSA und STRM stellt Juniper Sicherheitsupdates zur Behebung der Schwachstelle CVE-2014-6271 zur Verfügung.
Cisco hat weitere betroffene Produkte identifiziert.
Für OpenSUSE 12.3, 13.1 und 13.2 sowie verschiedene SUSE Enterprise Linux Distributionen stehen nun Sicherheitsupdates bereit, die auch die Schwachstellen CVE-2014-7169, CVE-2014-7186 und CVE-2014-7187 beheben.
Red Hat stellt ebenfalls für diverse RHEL Distributionen Patches zur Verfügung, die im Vergleich zu den vorherigen Updates, zusätzlich die Schwachstellen CVE-2014-6277 und CVE-2014-7186 beheben.
Fedora stellt für die Distribution Fedora 21 einen Patch für die Schwachstelle CVE-2014-7169 zur Verfügung.
Oracle behebt für Solaris und Oracle Linux die Schwachstelle CVE-2014-7169 (und damit auch CVE-2014-6271).
Canonical behebt für Ubuntu 10.04 LTS, 12.04 LTS und 14.04 LTS zusätzlich die Schwachstellen CVE-2014-7186 und CVE-2014-7187.

Update 5: Apple stellt für die Mac OS X Versionen OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 ein Update für die GNU Bash zum Download bereit und behebt damit die Schwachstellen CVE-2014-6271 und CVE-2014-7169.
Weiterhin steht für SUSE Linux Enterprise 11 SP2 nun ein Update für den SUSE Manager 1.7 zur Verfügung, der die Schwachstellen CVE-2014-6271, CVE-2014-7169, CVE-2014-7186 und CVE-2014-7187 bereinigt.

Update 6: Die Sicherheitslücken in der Bash sind nach wie vor nicht vollständig bereinigt. Um die Probleme, die aufgrund der unzureichenden Behebung der Schwachstellen CVE-2014-6271, CVE-2014-7169 und CVE-2014-6277 existieren, zu bündeln, wurde diesen eine weitere Schwachstellenkennzeichnung CVE-2014-6278 zugeordnet, welche jetzt ebenfalls in diese Meldung aufgenommen wurde.
Updates der Hersteller:
Für Juniper NSM Appliances und Junos Space stehen nun Sicherheitsupdates bereit.
Für SUSE Linux Enterprise wurden für Software Development Kit 12, Desktop 12 und Server 12 Patches für die Schwachstellen CVE-2014-6271, CVE-2014-7169, CVE-2014-7186 und CVE-2014-7187 veröffentlicht.
VMware hat zahlreiche Produkte identifiziert, die von den Schwachstellen betroffen sind. Der Hersteller arbeitet zur Zeit an Updates für diese Produkte. Die Liste der Produkte und Patches ist nicht abschließend und wird kontinuierlich überarbeitet.
Auch Cisco hat die Liste der betroffenen Produkte erneut überarbeitet.

Update 7:
Juniper bietet Sicherheitsupdates für die JSA/STRM Series und die IDP Series an. VMware hat sein Hersteller-Advisory (siehe Referenz) gleich zweimal überarbeitet und listet nun verfügbare Patches für eine Reihe von Produkten auf. Außerdem gibt VMware bekannt, dass die mit in das Hersteller-Advisory aufgenommen Schwachstellen CVE-2014-6277 und CVE-2014-6278 ebenfalls von den zur Verfügung stehenden Patches behoben werden.

Update 8: Für Red Hat Enterprise Virtualization 3.4 steht ein Sicherheitsupdate bereit, welches die Schwachstellen CVE-2014-6271, CVE-2014-7169, CVE-2014-7186 und CVE-2014-7187 behebt.
VMware stellt unter der bekannten Referenz weitere Informationen zu verfügbaren Sicherheitsupdates bereit.
Für Fedora 20 steht ein zusätzliches Sicherheitsupdate zur Verfügung.

Update 9: VMware stellt weitere Patches unter der bekannten URL bereit. Juniper veröffentlicht für die Network and Security Manager Appliance mit einer CentOS 4 Basisinstallation ein Sicherheitsupdate.

Update 10: F5 Networks stellt für BIG-IP Protocol Security Module ein Sicherheitsupdate 11.4.1 HF5 zur Verfügung, wie auch für eine Reihe anderer Produkte.

Update 11: Für Ubuntu 10.04 LTS, 12.04 LTS und 14.04 LTS stehen neue Sicherheitsupdates bereit.

Update 12: Von VMware werden weitere Sicherheitsupdates angeboten, die unter der bekannten URL auffindbar sind.

Update 13: Für SUSE Studio Onsite 1.3 stehen Sicherheitsupdates bereit, welche die Schwachstellen CVE-2014-6271, CVE-2014-6277, CVE-2014-6278, CVE-2014-7169 beheben. Für openSUSE 13.1 und 12.3 wird eine Regression behoben, die durch die letzten Bash-Sicherheitsupdates eingeführt worden war.

Update 14: Von VMware werden erneut weitere Sicherheitsupdates bereitgestellt. Für openSUSE 13.1 und 12.3 werden neuere Sicherheitsupdates angeboten, die eigene Patches durch die offiziellen bis Version bash42-053 ersetzen und zwei neue Patches für OpenSUSE 13.1 für die Schwachstellen CVE-2014-6277 und CVE-2014-6278 mitbringen.

Update 15: Neue Sicherheitsupdates von bash Shift_JIS Paketen werden von Red Hat für Enterprise Linux 5.9 EUS zur Verfügung gestellt.