Vulnerabilidade de injeção de comando variável no ambiente GNU Bash nos produtos OneSpan

ID do comunicado vasco-sa-20140930-bash

Número de revisão 1.0

Data de lançamento 30 de setembro de 2014 12:00 PM UTC + 1

Última atualização 17 de outubro de 2014 12:00 PM UTC + 1

Resumo

Em 24 de setembro de 2014, a fundação GNU anunciou publicamente uma vulnerabilidade no shell GNU Bash. Bash é um shell Unix desenvolvido como parte do projeto GNU como um substituto para o shell Bourne (sh). Ele foi distribuído amplamente como parte do sistema operacional GNU e é o shell padrão para Linux e OS X. A vulnerabilidade é geralmente chamada de vulnerabilidade “shellshock”.

Muitos daemons da Internet, incluindo telnet, SSH e servidores da Web, invocam o shell Bash. O shell Bash usa variáveis de ambiente para passar informações para processos que são gerados a partir dele. A vulnerabilidade permite que um invasor injete comandos arbitrários em um shell Bash usando variáveis de ambiente especialmente criadas.

O impacto específico da vulnerabilidade depende do processo usando o shell Bash. Na pior das hipóteses, um invasor remoto não autenticado poderá executar comandos em um servidor afetado.

Produtos impactados

Os seguintes produtos e serviços OneSpan são afetados pela vulnerabilidade:

  • Gatekeeper aXsGUARD (todas as versões)
  • Servidor de Federação IDENTIKEY (versões 1.3, 1.4 e 1.5)
  • MYDIGIPASS.COM

 

Descrição

O shell Bash usa variáveis de ambiente para passar informações para processos que são gerados a partir dele. Variáveis de ambiente podem ser usadas para armazenar definições de funções. Tais variáveis de ambiente começam com "() {" e geralmente terminam com "};".

No entanto, o Bash executa qualquer código na variável de ambiente após a definição da função. Isso permite que um invasor crie uma definição de função como:

FUNCT = () {ignorar; }; eco shellshock

Isso faria com que o código "echo shellshock" fosse executado quando o Bash processasse suas variáveis de ambiente.

O impacto dessa vulnerabilidade nos produtos OneSpan varia de acordo com o produto afetado e a natureza do uso do produto.

A esta vulnerabilidade foram atribuídas os IDs de Vulnerabilidades e Exposições Comuns (CVE) CVE-2014-6271 e CVE-2014-7169.

Pontuação de gravidade

As tabelas abaixo indicam a pontuação de vulnerabilidade do CVSS 2.0.

1 Vetores de ataque que não requerem autenticação

Pontuação Base CVSS: 7.5
Vetor de acesso Complexidade de acesso

Autenticação

Impacto da confidencialidade Impacto na integridade Impacto na disponibilidade
Rede Baixo Nenhum Parcial Parcial Parcial

 

Pontuação temporal do CVSS: 7.1
Exploração Nível de correção Relatório de Confiança
Funcional Não definido Confirmado

 

2) Vetores de ataque que requerem autenticação

Pontuação Base CVSS: 6.5
Vetor de acesso Complexidade de acesso Autenticação Impacto da confidencialidade Impacto na integridade Impacto na disponibilidade
Rede Baixo solteiro Parcial  Parcial Parcial

 

Pontuação temporal CVSS: 6.2
Exploração Nível de correção Relatório de Confiança
Funcional Não definido Confirmado

 

Correções do produto

O OneSpan corrigiu os seguintes produtos:

  • aXsGUARD Gatekeeper 7.6.5, 7.7.0, 7.7.1, 7.7.2 e 7.7.3

O OneSpan corrigiu o seguinte serviço:

  • MYDIGIPASS.COM

O OneSpan lançará patches para os seguintes produtos:

  • Servidor de Federação IDENTIKEY 1.4.4 e 1.5.3, a ser lançado em 22 de outubro de 2014

Localização

Para produtos aXsGUARD Gatekeeper:

O OneSpan já implantou patches para os produtos aXsGUARD Gatekeeper por meio do serviço de atualização automatizada. Os clientes que não permitirem que seu sistema seja atualizado por meio deste serviço devem entrar em contato com a OneSpan para obter instruções sobre como obter o patch.

Para outros produtos:

Os clientes com um contrato de manutenção podem obter versões fixas do produto no MyMaintenance. Clientes sem contrato de manutenção devem entrar em contato com seu representante de vendas.

Referência

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7169

Contrato

Embora todo esforço razoável seja feito para processar e fornecer informações precisas, todo o conteúdo e as informações contidas neste documento são fornecidos "no estado em que se encontram" e "conforme disponível", sem qualquer representação ou endosso e sem garantia expressa ou implícita, COMPETÊNCIA OU ADEQUAÇÃO, OU QUALQUER GARANTIA, INCLUINDO AS GARANTIAS DE COMERCIALIZAÇÃO OU ADEQUAÇÃO A UM USO OU FINS ESPECÍFICOS. A UTILIZAÇÃO DESTE DOCUMENTO, QUALQUER INFORMAÇÃO FORNECIDA OU MATERIAIS LIGADOS DESTE DOCUMENTO É POR SUA CONTA E RISCO. A VASCO RESERVA-SE O DIREITO DE ALTERAR OU ATUALIZAR AS INFORMAÇÕES DESTE DOCUMENTO A QUALQUER MOMENTO E A SEU DISCRETO, E QUANDO SE TIVER DISPONIBILIDADE DE INFORMAÇÕES NOVAS OU ADICIONAIS.

Direitos autorais © 2014 VASCO Data Security, Inc., VASCO Data Security International GmbH. Todos os direitos reservados.

Vulnerabilidade de injeção de comando variável no ambiente GNU Bash no produto OneSpan s