Sicherheitsanfälligkeit in GSU Bash Environment Variable Command Injection in OneSpan-Produkten

Beratungs-ID vasco-sa-20140930-bash

Revisionsnummer 1.0

Erscheinungsdatum 30. September 2014 12:00 UTC + 1

Letztes Update 17. Oktober 2014 12:00 UTC + 1

Zusammenfassung

Am 24. September 2014 kündigte die GNU-Stiftung öffentlich eine Sicherheitslücke in der GNU Bash-Shell an. Bash ist eine Unix-Shell, die im Rahmen des GNU-Projekts als Ersatz für die Bourne-Shell (sh) entwickelt wurde. Es wurde als Teil des GNU-Betriebssystems weit verbreitet und ist die Standard-Shell für Linux und OS X. Die Sicherheitsanfälligkeit wird allgemein als "Shellshock" -Anfälligkeit bezeichnet.

Viele Internet-Daemons, einschließlich Telnet, SSH und Webserver, rufen die Bash-Shell auf. Die Bash-Shell verwendet Umgebungsvariablen, um Informationen an Prozesse zu übergeben, die daraus hervorgehen. Die Sicherheitsanfälligkeit ermöglicht es einem Angreifer, beliebige Befehle mithilfe speziell gestalteter Umgebungsvariablen in eine Bash-Shell einzufügen.

Die spezifischen Auswirkungen der Sicherheitsanfälligkeit hängen vom Prozess ab, bei dem die Bash-Shell verwendet wird. Im schlimmsten Fall kann ein nicht authentifizierter Remoteangreifer Befehle auf einem betroffenen Server ausführen.

Betroffene Produkte

Folgende OneSpan-Produkte und -Dienste sind von der Sicherheitsanfälligkeit betroffen:

  • aXsGUARD Gatekeeper (alle Versionen)
  • IDENTIKEY Federation Server (Versionen 1.3, 1.4 und 1.5)
  • MYDIGIPASS.COM

 

Beschreibung

Die Bash-Shell verwendet Umgebungsvariablen, um Informationen an Prozesse zu übergeben, die daraus hervorgehen. Umgebungsvariablen können zum Speichern von Funktionsdefinitionen verwendet werden. Solche Umgebungsvariablen beginnen mit "() {" und enden normalerweise mit "};".

Bash führt jedoch jeden Code in der Umgebungsvariablen nach der Funktionsdefinition aus. Auf diese Weise kann ein Angreifer eine Funktionsdefinition erstellen, z.

FUNCT = () {ignorieren; }; Echo Shellshock

Dies würde dazu führen, dass der Code "Echo Shellshock" ausgeführt wird, wenn Bash seine Umgebungsvariablen verarbeitet.

Die Auswirkungen dieser Sicherheitsanfälligkeit auf OneSpan-Produkte hängen vom betroffenen Produkt und der Art der Produktnutzung ab.

Dieser Sicherheitsanfälligkeit wurden die CVE-IDs (Common Vulnerabilities and Exposures) CVE-2014-6271 und CVE-2014-7169 zugewiesen.

Severity Score

Die folgenden Tabellen geben den CVSS 2.0-Schwachstellenwert an.

1. Angriffsvektoren, für die keine Authentifizierung erforderlich ist

CVSS Base Score: 7.5
Greifen Sie auf Vector zu Zugriffskomplexität

Authentifizierung

Vertraulichkeitswirkung Auswirkungen auf die Integrität Auswirkungen auf die Verfügbarkeit
Netzwerk Niedrig Keiner Teilweise Teilweise Teilweise

 

CVSS Temporal Score: 7.1
Ausnutzbarkeit Sanierungsstufe Vertrauen melden
Funktionell Nicht definiert Bestätigt

 

2. Angriffsvektoren, die eine Authentifizierung erfordern

CVSS Base Score: 6.5
Greifen Sie auf Vector zu Zugriffskomplexität Authentifizierung Vertraulichkeitswirkung Auswirkungen auf die Integrität Auswirkungen auf die Verfügbarkeit
Netzwerk Niedrig Single Teilweise  Teilweise Teilweise

 

CVSS Temporal Score: 6.2
Ausnutzbarkeit Sanierungsstufe Vertrauen melden
Funktionell Nicht definiert Bestätigt

 

Produktkorrekturen

OneSpan hat folgende Produkte gepatcht:

  • aXsGUARD Gatekeeper 7.6.5, 7.7.0, 7.7.1, 7.7.2 und 7.7.3

OneSpan hat folgenden Dienst gepatcht:

  • MYDIGIPASS.COM

OneSpan veröffentlicht Patches für folgende Produkte:

  • IDENTIKEY Federation Server 1.4.4 und 1.5.3 werden am 22. Oktober 2014 veröffentlicht

Ort

Für aXsGUARD Gatekeeper-Produkte:

OneSpan hat bereits Patches für aXsGUARD Gatekeeper-Produkte über den automatisierten Update-Service bereitgestellt. Kunden, die nicht zulassen, dass ihr System über diesen Service aktualisiert wird, sollten sich an OneSpan wenden, um Anweisungen zum Erhalt des Patches zu erhalten.

Für andere Produkte:

Kunden mit einem Wartungsvertrag können feste Produktfreigaben von MyMaintenance erhalten. Kunden ohne Wartungsvertrag sollten sich an ihren Vertriebsmitarbeiter wenden.

Referenz

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7169

Haftungsausschluss

WÄHREND JEDER ANGEMESSENE AUFWAND GEMACHT WIRD, UM GENAUE INFORMATIONEN ZU VERARBEITEN UND ZUR VERFÜGUNG ZU STELLEN, WERDEN ALLE INHALTE UND INFORMATIONEN IN DIESEM DOKUMENT "WIE BESEHEN" UND "WIE VERFÜGBAR" UND OHNE AUSDRÜCKLICHE ODER STILLSCHWEIGENDE GARANTIE VON CUR VOLLSTÄNDIGKEIT ODER EIGNUNG ODER JEGLICHE GEWÄHRLEISTUNG, EINSCHLIESSLICH DER GEWÄHRLEISTUNG DER MARKTGÄNGIGKEIT ODER EIGNUNG FÜR EINEN BESTIMMTEN GEBRAUCH ODER ZWECK. DIE NUTZUNG DIESES DOKUMENTS, DER ZUR VERFÜGUNG GESTELLTEN INFORMATIONEN ODER DER MIT DIESEM DOKUMENT VERBUNDENEN MATERIALIEN ERFOLGT AUF EIGENES RISIKO. VASCO behält sich das Recht vor, die Informationen in diesem Dokument jederzeit und nach eigenem Ermessen zu ändern oder zu aktualisieren, sofern neue oder zusätzliche Informationen verfügbar werden.

Copyright © 2014 VASCO Datensicherheit, Inc., VASCO Datensicherheit International GmbH. Alle Rechte vorbehalten.

Sicherheitsanfälligkeit in GSU Bash Environment Variable Command Injection in OneSpan-Produkten s