29 september 2014 12:49

Shellshock-lek blijft bestaan, ondanks patches

Ondanks meerdere patches is de Bash-shell in Linux nog steeds lek. Het ziet er naar uit dat de kwetsbaarheid niet weg te werken is zonder een groot compatibiliteitsprobleem te veroorzaken.

De reactie op de ontdekking van de Shellshock-bug in de Bash-shell van Linux was gezwind. Een eerste, onvolledige patch werd al snel opgevolgd door een tweede exemplaar, dat de grootste problemen voor de ruime meerderheid van Bash-gebruikers moest verhelpen.

Helaas blijkt het probleem met Bash dieper te liggen dan aanvankelijk gedacht, weet Ars Technica. Het lek dat ervoor zorgt dat een aanvaller eigen kwaadaardige code kan draaien op Linux-systemen lijkt niet op te lossen met een eenvoudige patch.

Shellshock geeft hackers de kans om code binnen te smokkelen via een zogenaamde environment variable. Die variabele maakt deel uit van een aanvraag van een hacker aan het adres van een webserver (of een ander stuk software dat lek is).

[related_article id=”161920″]

De webserver gebruikt Bash om te praten met het achterliggende besturingssysteem. Een environment variable bevat normaliter onschuldige informatie, maar de variabele kan gebruikt worden om een commando te verhullen. Bash voert dat verborgen commando vervolgens zonder vragen te stellen uit. De Shellshock-bug is de mogelijkheid om Bash te misleiden door middel van de environment variable.

Naïef
De patches voor Shellshock helpen om bepaalde misbruiken te verhelpen, maar de kern van het lek blijft aanwezig. Bash blijft naïef genoeg om environment variables uit te voeren, en zolang die kwetsbaarheid blijft bestaan is het uitbrengen van patches dweilen met de kraan open.

Volgens computerwetenschapper David Wheeler is de enige manier om Shellshock onder controle te houden een grondige aanpassing van de manier waarop Bash omgaat met variabelen. Dat zomaar aanpassen zou echter heel wat applicaties en diensten kapotmaken: die zijn immers geschreven om Bash te gebruiken zoals het nu bestaat.

In de nabije toekomst ziet het er dus naar uit dat Bash kwetsbaar blijft, wat natuurlijk niet wil zeggen dat patches niet helpen. Ze maken een aantal specifieke toepassingen van Shellshock onmogelijk, waardoor het op z’n minst moeilijker wordt voor hackers om het lek uit te buiten.