Heartbleed und Shellshock
Sicherheitscheck



Heartbleed und Shellshock sind wohl die bisher gravierensten
Sicherheitslücken welche in den letzten Jahren im Internet gefunden wurden.

Hier können Sie prüfen ob Ihr Webserver sicher ist.

Sicherheitscode:

CAPTCHA Image
Heartbleed Was ist Shellshock?
Shellshock ist eine Sicherheitslücke in der Linux-Shell Bash welche als der schlimmere Bruder von Heartbleed bezeichnet wird.

Der Shellshock Bug ist eine neu entdeckte Sicherheitslücke in der freien Unix-Shell Bash welche die Ausführung von schadhaften Code unter Linux, Unix und OS X erlaubt. Bash ist die Standard-Shell auf den meisten Unix-Betriebssystemen und wird bei fast allen Linux-Distributionen und BSD-Varianten eingesetzt. Nutzt ein Server eine Version eines Betriebssystems, welches noch nicht gepatcht wurde, ist dieser potentziell angreifbar. Da Bash auf Unix- und Unix-ähnlichen-Systemen in unzähligen Situationen genutzt wird, gibt es eine kaum überschaubare Anzahl an Angriffsmöglichkeiten
Was macht diese Seite?
Durch eintragen einer Internet- oder IP-Adresse und klicken auf den grünen "Start" Button können Sie Ihren eigenen Webserver auf die Sicherheitslücken Bashbleed und Shellshock testen. Das testen fremder Server ist aus rechtlichen Gründen nicht gestattet! Durch Ausführen des Sicherheitscheck wird ein realer Angriff auf Ihren Webserver ausgeführt und das Resultat angezeigt. Wir speichern jedoch keine Resultate oder Datenpakete welche während der Prüfung entstehen. Die Daten sind nur für den Moment des Checks verfügbar und werden danach direkt verworfen so dass auch wir die Daten nachträglich nicht mehr einsehen können.
Sind Sie durch Shellshock verwundbar?
Es gibt derzeit 5 verschiedene bekannte Exploits mit welchen Sie testen können, ob Ihr System anfällig ist.
Exploit 1 (CVE-2014-6271)
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
Exploit 2 (CVE-2014-7169)
env X='() { (shellshocker.net)=>\' bash -c "echo date"; cat echo ; rm -f echo
Exploit 3 (-)
env -i X=' () { }; echo hello' bash -c 'date'
Exploit 4 (CVE-2014-7186)
bash -c 'true <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF' || echo "CVE-2014-7186 vulnerable, redir_stack"
Exploit 5 (CVE-2014-7187)
(for x in {1..200} ; do echo "for x$x in ; do :"; done; for x in {1..200} ; do echo done ; done) | bash ||<br> echo "CVE-2014-7187 vulnerable, word_lineno"
So sichern Sie Ihre Systeme gegen Shellshock
Um Ihre Systeme gegen Shellshock zu sichern, müssen Sie die Bash auf Ihren Systemen aktualisieren. Alle großen Distributionen verteilen derzeit aktualisierte Pakete. Die wichtigsten Distributionen und die dazugehörige Anleitung zum Einspielen der Updates haben wir hier zusammengefasst.
Debian / Ubuntu
sudo apt-get update && sudo apt-get install --only-upgrade bash
Redhat / CentOS
yum update bash -y
Archlinux
pacman -Syu
OS X
Unter OS X muss die Bash aus den Sourcen kompiliert werden. Dies kan mit brew oder MacPorts geschehen. Sie können
brew auf der folgenden Seite herunterladen und installieren: http://www.brew.sh/

brew update
brew install bash
sudo sh -c 'echo "/usr/local/bin/bash" >> /etc/shells'
chsh -s /usr/local/bin/bash
sudo mv /bin/bash /bin/bash-backup
sudo ln -s /usr/local/bin/bash /bin/bash
Alternativ können Sie die MacPorts nutzen:

sudo port self update
sudo port upgrade bash
Manuelle Installation
Sollte ihr System oben nicht aufgeführt sein, so gibt es noch die Möglichkeit die Bash auch manuell aus den Quellen zu kompilieren.

wget https://ftp.gnu.org/gnu/bash/bash-4.3.tar.gz
for i in $(seq -f "%03g" 0 27); do wget https://ftp.gnu.org/gnu/bash/bash-4.3-patches/bash43-$i; done
tar zxvf bash-4.3.tar.gz
cd bash-4.3
for i in $(seq -f "%03g" 0 27);do patch -p0 < ../bash43-$i; done
./configure --prefix=/
make
make install
cp /bin/bash /usr/local/bin/bash
Wir haben auch ein Script geschrieben welches das herunterladen, patchen und kompilieren der Bash übernimmt. Das Script kann hier herunter geladen werden:

Von einer Linux-Konsole kann die Installation mit dem Script durch eine einzelne Zeile heruntergeladen und ausgefürt werden.

curl http://www.bashbleed.de/fix.sh | sh


Das nachfolgende Script kann dafür verwendet werden das Update der auf mehreren Systemen automatisch zu starten.

#!/bin/bash

servers=(
1.1.1.1
2.2.2.2
3.3.3.3
4.4.4.4
)
for server in ${servers[@]}
do
# Der Befehl hier muss entsprechend des Paketmanagers angepasst werden
ssh $server 'yum -y update bash'
done
Häufig gestellte Fragen
Q: Werden Daten von mir gespeichert und wenn ja, welche?
A: Wir nehmen den Datenschutz sehr ernst und speichern deshalb keine Daten.

Q: Ist es möglich IPv6-Adressen zu testen?
A: Leider nein. Es ist derzeit leider nicht möglich IPv6-Adressen zu testen.

Q: Kann ich meine Systeme durch diesen Test beschädigen?
A: Wir haben den Test mit größter Sorgfalt entwickelt und auch getestet. Allerdings handelt es sich bei dem hier ausgeführten Test um einen mit einem echten Hacker-Angriff zu vergleichenden Test, welcher unter umständen eine Fehlfunktion verursachen kann. Wir empfehlen aus diesem Grund, dass Sie den Test nicht während der Zeit ausführen, in der die Systeme Produktiv genutzt werden. Denken Sie auch dran, möglicherweise die Geschäftsleitung über diesen Test zu informieren.

Impressum
ProNet Systems UG & Co. KG - Zum Dümpel 60 - 59846 Sundern

Vertreten durch:
Herr Sebastian Michel

Kontakt:
Telefon: +49 (0) 29 33 / 922 822 - 0
Telefax: +49 (0) 29 33 / 922 822 - 99
E-Mail: info [at] pronet-systems [dot] de