Ernstige kwetsbaarheid in Bash verholpen

Er zijn ernstige kwetsbaarheden verholpen in Bash. Door misbruik te maken van deze kwetsbaarheden kan een kwaadwillende mogelijk op afstand willekeurige code uitvoeren met de rechten van de gebruiker die Bash aanroept of een Denial-of-Service veroorzaken.

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

######################## UPDATE 1.08 #############################

Titel           : Ernstige kwetsbaarheid in Bash verholpen
Advisory ID     : NCSC-2014-0595
Versie          : 1.08
Kans            : high
CVE ID          : CVE-2014-6271, CVE-2014-6277, CVE-2014-6278,
                  CVE-2014-7169, CVE-2014-7186, CVE-2014-7187
                  (http://cve.mitre.org/cve/)
Schade          : high
                  Denial-of-Service (DoS)
                  Remote code execution (Gebruikersrechten)
Uitgiftedatum   : 20141009
Toepassing      : Barracuda Networks Spam Firewall
                  BlueCoat BlueCoat Director
                  BlueCoat PacketShaper
                  BlueCoat SkyX Gateway
                  BlueCoat Systems ProxySG
                  Checkpoint producten
                  Cisco IronPort
                  F5 BIG-IP (BigIP)
                  GNU Bash
                  HP NonStop Server
                  IBM WebSphere MQ
                  IBM Websphere Message Broker
                  Juniper JUNOS Space Platform
Versie(s)       : 
Platform(s)     : Bluecoat firmware
                  BSD
                  Infoblox NIOS
                  Linux
                  Mac OS X
                  Solaris
                  UNIX

Update
   Ubuntu heeft updates uitgebracht om de kwetsbaarheid te verhelpen.
   Zie "Mogelijke oplossingen" voor meer informatie.

Samenvatting
   Er zijn ernstige kwetsbaarheden verholpen in Bash. Door misbruik te
   maken van deze kwetsbaarheden kan een kwaadwillende mogelijk op
   afstand willekeurige code uitvoeren met de rechten van de gebruiker
   die Bash aanroept of een Denial-of-Service veroorzaken.

Gevolgen
   Een kwaadwillende kan de kwetsbaarheid mogelijk misbruiken om
   willekeurige code uit te voeren met de rechten van de gebruiker die
   Bash aanroept of een Denial-of-Service veroorzaken.

Beschrijving
   Er zijn ernstige kwetsbaarheden gevonden in Bash, waardoor een
   aanvaller willekeurige code kan uitvoeren. De kwetsbaarheid wordt
   veroorzaakt door een onvolkomenheid in de implementatie van
   omgevingsvariabelen in Bash.
   
   Om de kwetsbaarheid te misbruiken, moet een aanvaller een waarde
   aan een variabele kunnen toekennen. Dit is mogelijk door direct
   toegang te hebben tot een Bash omgeving of door gebruik te maken
   van een kwetsbare applicatie of service die gebruikt maakt van
   Bash. De kwaadwillende kan door toevoegen van code in de
   omgevingsvariabele er voor zorgen dat deze code wordt uitgevoerd
   door Bash.
   
   Services en applicaties zijn dus mogelijk kwetsbaar als ze gebruik
   maken van Bash, bijvoorbeeld om in de achtergrond bepaalde
   commando's op de server uit te voeren. Red Hat heeft op haar
   security-blog een artikel geplaatst waarin verder wordt ingegaan op
   de kwetsbaarheid, ze schetsen tevens een aantal scenario's waarin
   de kwetsbaarheid mogelijk misbruikt kan worden:
   
   https://securityblog.redhat.com/2014/09/24
      /bash-specially-crafted-environment-variables-code-injection-attack
   
   Er is tevens exploitcode verschenen om misbruik te maken van de
   kwetsbaarheid. Ook wordt er actief gezocht naar kwetsbare systemen.
   
   - CVE-2014-6271, CVE-2014-7169, CVE-2014-6277, CVE-2014-6278
   Er bevinden zich kwetsbaarheden in de Bash shell m.b.t. de manier
   van verwerken van omgevingsvariabelen. Een kwaadwillende kan de
   kwetsbaarheden mogelijk misbruiken om willekeurige code uit te
   voeren met de rechten waarin het Bash proces draait. Kwetsbaarheid
   met CVE-ID CVE-2014-7169 komt voort uit een incomplete oplossing
   voor CVE-2014-6271. De kwetsbaarheden met CVE-ID CVE-2014-6277 en
   CVE-2014-6278 komen voort uit een incomplete oplossing voor de
   kwetsbaarheden met CVE-ID CVE-2014-6271 en CVE-2014-7169.
   
   - CVE-2014-7186
   Er bevindt zich een stack overflow kwetsbaarheid in de Bash shell
   die kan leiden tot geheugen corruptie. Een kwaadwillende kan deze
   kwetsbaarheid mogelijk misbruiken om op afstand een
   Denial-of-Service te veroorzaken of mogelijk willekeurige code
   uitvoeren.
   
   - CVE-2014-7187
   Er bevindt zich een kwetsbaarheid in de manier waarop Bash flow
   control constructs afhandelt. Een kwaadwillende kan deze
   kwetsbaarheid mogelijk misbruiken om op afstand een
   Denial-of-Service te veroorzaken of mogelijk willekeurige code
   uitvoeren.

Mogelijke oplossingen
   -= Apple =-
   Apple heeft updates beschikbaar gesteld om de kwetsbaarheden in
   Bash te verhelpen met CVE-ID CVE-2014-6271 en CVE-2014-7169. Zie
   ook:
   
   OS X Lion:
   http://support.apple.com/kb/DL1767
   
   OS X Mountain Lion:
   http://support.apple.com/kb/DL1768
   
   OS X Mavericks:
   http://support.apple.com/kb/DL1769
   
   -= Barracuda =-
   Diverse Barracuda-appliances bevatten deze kwetsbaarheden.
   Barracuda heeft "security definition" 2.1.14182 uitgebracht om deze
   kwetsbaarheden te verhelpen. Zie voor meer informatie over de
   update en de getroffen systemen de advisory van Barracuda:
      
   https://www.barracuda.com/support/techalerts
   
   -= BlueCoat =-
   BlueCoat heeft updates beschikbaar gemaakt om de kwetsbaarheden te
   verhelpen in verschillende producten. Zie de volgende pagina voor
   meer informatie:
   
   https://kb.bluecoat.com/index?page=content&id=SA82&actp=RSS
   
   -= CentOS =-
   CentOS heeft updates beschikbaar gesteld voor CentOS 5, 6 en 7 om
   de kwetsbaarheden te verhelpen. U kunt de updates installeren door
   gebruik te maken van up2date of yum. Voor meer informatie en een
   eventueel handmatige installatie, zie:
   
   CentOS 5:
   http://lists.centos.org/pipermail/centos-announce/2014-September
      /020591.html
   CentOS 6:
   http://lists.centos.org/pipermail/centos-announce/2014-September
      /020593.html
   CentOS 7:
   http://lists.centos.org/pipermail/centos-announce/2014-September
      /020592.html
   
   -= Checkpoint =-
   Checkpoint heeft fixes voor Checkpoint GAiA OS uitgebracht om de
   kwetsbaarheden te verhelpen. Zie voor meer informatie:
   
   https://supportcenter.checkpoint.com/supportcenter
      /portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk102673&
      src=securityAlerts
   
   -= Cisco =-
   Cisco heeft updates beschikbaar gesteld die de kwetsbaarheden
   verhelpt. Meer informatie vindt u op de volgende pagina:
   
   http://tools.cisco.com/security/center/content
      /CiscoSecurityAdvisory/cisco-sa-20140926-bash
   
   -= Debian =-
   Debian heeft updates van Bash beschikbaar gesteld voor Debian 7.0
   (Wheezy) om de kwetsbaarheden te verhelpen. U kunt de aangepaste
   packages installeren door gebruik te maken van 'apt-get update' en
   'apt-get upgrade'. Meer informatie kunt u vinden op onderstaande
   pagina:
   
   CVE-2014-6271:
   https://www.debian.org/security/2014/dsa-3032
   CVE-2014-7169:
   https://www.debian.org/security/2014/dsa-3035
   
   -= F-secure =-
   F-secure heeft updates beschikbaar gesteld die de kwetsbaarheden
   verhelpen. Meer informatie vindt u op de volgende pagina:
   
   http://www.f-secure.com/en/web/labs_global/fsc-2014-7
   
   -= f5 =-
   f5 heeft updates uitgebracht om de kwetsbaarheden te verhelpen in
   verschillende BIG-IP producten. Zie de volgende pagina voor meer
   informatie:  
   
   http://support.f5.com/kb/en-us/solutions/public/15000/600
      /sol15629.html?ref=rss
   
   -= Fedora =-
   Fedora heeft updates beschikbaar gesteld voor Fedora 19 en 20. U
   kunt deze updates installeren met behulp van het commando 'yum'.
   Meer informatie over deze updates en over een eventueel handmatige
   installatie vindt u op:
   
   Fedora 19:
   https://lists.fedoraproject.org/pipermail/package-announce
      /2014-September/138675.html
   
   Fedora 20:
   https://lists.fedoraproject.org/pipermail/package-announce
      /2014-September/138583.html
   
   -= FreeBSD =-
   FreeBSD heeft updates beschikbaar gesteld om de kwetsbaarheden met
   CVE-ID CVE-2014-6277, CVE-2014-6278 te verhelpen in Bash. U kunt
   deze updates installeren via pkg-add. Meer informatie over deze
   updates vindt u op:
   
   http://portaudit.freebsd.org
      /512d1301-49b9-11e4-ae2c-c80aa9043978.html
   
   -= HP =-
   HP heeft updates beschikbaar gesteld voor HP NonStop servers, HP
   NonStop CLIM en HP NonStop Virtual TapeServer die de kwetsbaarheden
   verhelpt. Meer informatie vindt u op de volgende paginas:
   
   https://h20564.www2.hp.com/portal/site/hpsc/public/kb/
   docDisplay?docId=emr_na-c04462737
   https://h20564.www2.hp.com/portal/site/hpsc/public/kb
      /docDisplay?docId=emr_na-c04466552
   https://h20564.www2.hp.com/portal/site/hpsc/public/kb/
   docDisplay?docId=emr_na-c04466586
   
   -= IBM =-
   IBM heeft updates uitgebracht om de kwetsbaarheden te verhelpen in
   IBM Websphere MQ Hypervisor Edition voor Red Hat Enterprise Linux
   en IBM Websphere Message Broker. Zie de volgende pagina voor meer
   informatie:
   
   - IBM Websphere MQ voor Red Hat Enterprise Linux:
   http://www-01.ibm.com/support/docview.wss?uid=swg21685666
   
   - IBM Websphere Message Broker:
   http://www-01.ibm.com/support/docview.wss?uid=swg21685673
   
   -= Infoblox =-
   Infoblox heeft updates uitgebracht om de kwetsbaarheden te
   verhelpen in Infoblox NIOS. Klanten kunnen inloggen op de support
   website om updates te downloaden:
   
   https://support.infoblox.com
   
   -= Juniper =-
   Juniper heeft updates beschikbaar gesteld die de kwetsbaarheden
   verhelpt. Meer informatie vindt u op de volgende pagina:
   
   http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10648
   
   -= OpenSUSE =-
   De makers van OpenSUSE hebben updates beschikbaar gesteld om de
   kwetsbaarheden te verhelpen in OpenSUSE 12. U kunt deze aangepaste
   packages installeren door gebruik te maken van 'zypper'. U kunt ook
   gebruik maken van YAST of de updates handmatig downloaden van de
   SUSE FTP-server (ftp.suse.com). Voor meer informatie, zie:
   
   http://lists.opensuse.org/opensuse-security-announce/2014-09
      /msg00038.html
   http://lists.opensuse.org/opensuse-security-announce/2014-09
      /msg00041.html
   http://lists.opensuse.org/opensuse-security-announce/2014-09
      /msg00044.html
   
   -= Oracle =-
   Oracle heeft updates beschikbaar gesteld voor hun producten,
   waaronder Solaris 8, 9, 10 en 11. Meer informatie vindt u in het
   beveiligingsadvies van Oracle:
   
   http://www.oracle.com/technetwork/topics/security
      /bashcve-2014-7169-2317675.html
   
   -= Red Hat =-
   Red Hat heeft updates beschikbaar gesteld voor Red Hat Enterprise
   Linux 5, 6 en 7. U kunt deze updates installeren met behulp van het
   commando 'up2date' of 'yum'. Meer informatie over deze updates en
   over een eventueel handmatige installatie vindt u op:
   
   CVE-2014-6271:
   https://rhn.redhat.com/errata/RHSA-2014-1293.html
   CVE-2014-7169, CVE-2014-7186, CVE-2014-7187:
   https://rhn.redhat.com/errata/RHSA-2014-1306.html
   https://rhn.redhat.com/errata/RHSA-2014-1311.html
   
   Red Hat heeft updates beschikbaar gesteld om de kwetsbaarheden met
   CVE-ID CVE-2014-6271, CVE-2014-7169, CVE-2014-7186 en CVE-2014-7187
   te verhelpen in Red Hat Enterprise Virtualization 3.4. Meer
   informatie over deze updates vindt u op:
   
   https://rhn.redhat.com/errata/RHSA-2014-1354.html
   
   -= Splunk=-
   Splunk heeft updates beschikbaar gesteld om de kwetsbaarheden te
   verhelpen. Voor meer informatie, zie:
   
   http://www.splunk.com/view/SP-CAAANJN
   
   -= SUSE =-
   SUSE heeft updates beschikbaar gesteld om de kwetsbaarheden te
   verhelpen in SUSE Linux Enterprise Server en SUSE Linux Enterprise
   Desktop 10, 11 en 12. U kunt deze aangepaste packages installeren
   door gebruik te maken van 'YaST'. U kunt het package ook handmatig
   downloaden van de SUSE FTP-server (ftp.suse.com). Voor meer
   informatie, zie:
   
   - SUSE 10 en 11:
   http://lists.opensuse.org/opensuse-security-announce/2014-09
      /msg00042.html
   
   - SUSE 12:
   http://lists.opensuse.org/opensuse-security-announce/2014-09
      /msg00048.html
   
   -= Ubuntu =-
   Ubuntu heeft updates beschikbaar gesteld voor Ubuntu 10.04 LTS,
   12.04 LTS en 14.04 LTS om de kwetsbaarheden te verhelpen. U kunt de
   aangepaste packages installeren door gebruik te maken van 'apt-get
   update' en 'apt-get upgrade'. Meer informatie kunt u vinden op
   onderstaande pagina:
   
   CVE-2014-6271:
   http://www.ubuntu.com/usn/usn-2362-1/
   CVE-2014-6277, CVE-2014-6278:
   http://www.ubuntu.com/usn/usn-2380-1/
   CVE-2014-7169:
   http://www.ubuntu.com/usn/usn-2363-1/
   http://www.ubuntu.com/usn/usn-2363-2/
   CVE-2014-7186, CVE-2014-7187:
   http://www.ubuntu.com/usn/usn-2364-1/
   
   -= VMware =-
   VMware heeft updates beschikbaar gesteld waarmee de kwetsbaarheden
   worden verholpen. Updates zijn nog niet voor alle versies en
   producten van VMware beschikbaar. Zie de advisory van VMware voor
   een actueel overzicht van kwetsbare versies en beschikbare patches:
   
   http://www.vmware.com/security/advisories/VMSA-2014-0010.html

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit 
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de 
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.


-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.3.2 (Build 15495)
Charset: utf-8

wlcDBQFUNqKexQmb4H7upc0RCCRfAP9NU1sAsjy2/PmPheQ+z4JsmA9gG0K0cyir
Evo08+37DgD/Y8QpRGASen5YRqUGJZgYL/Z3OK8kQt7MLFP0Jxnwd2c=
=ZqXM
-----END PGP SIGNATURE-----

Wat is het NCSC?

CSBN 2018

Nederland digitaal veilig