LSE LinOTP and LSE LinOTP Smart Virtual Appliance NOT susceptible to the Shell Shock vulnerability.

We would like to inform you about the impact of the current Shell Shock vulnerability on our products.

The vulnerability in GNU Bash can NOT be remotely exploited in our products.

The vulnerability in the widely used GNU Bash named Shell Shock and first described in CVE-2014-6271 can be used to execute arbitrary commands. It can be exploited by insufficiently configured and protected remote interfaces, which significantly increases the criticality.

We analyzed our products for this vulnerability. We came to the conclusion, the vulnerability can NOT be exploited by external or network access to our products. The remote interfaces and services provided by LinOTP and the LSE Smart Virtual Appliance can not be exploited. Our products do not allow to have external data directly executed in the GNU Bash shell.

GNU Bash is used in our LSE LinOTP Smart Virtual Appliance and LSE LinOTP Appliance A150. We already provide, of course, updated versions of GNU Bash, fixing the known vulnerabilities although they can not be exploited.

We recommend customers with native LinOTP installations to update the relevant packages, using the update mechanisms of their base distribution, as a precaution.

Updates to our products are distributed by the known mechanisms, the automatic update or the manual update functions.

You can update the LSE LinOTP Smart Virtual Appliance to the newest version of the appliance software and LinOTP using the instructions below, if you did not activate the automatic update.

(Please keep in mind, all packages installed are going to be updated to the newest version available. If you only want to update single packages, please contact our support.)

1. Use SSH to login on the LSE LinOTP Smart Virtual Appliance (user: root).

2. Execute the command appliance-update.sh.

If the automatic update was not activated before, you will also receive a kernel update. We therefor recommend to reboot the LSE Smart Virtual Appliance after the successful update.

Please contact our support hotline ( 06151 86086 – 115 or support@lsexperts.de), if you do not have activated the automatic update and are using an appliance version equal or smaller than 1.0. We are happy to help you with detailed update instructions in this case. The update is still easy to deploy, but needs a switch out of the context for self administration.

Best Regards

The LinOTP Team

LSE LinOTP und LSE LinOTP Smart Virtual Appliance für Shell Shock-Sicherheitslücke NICHT anfällig

Wir möchten Sie hiermit informieren, inwieweit die aktuell diskutierte Shell Shock-Lücke unsere Produkte betrifft.

Die im Zusammenhang mit der Shell „GNU Bash“ stehende Sicherheitslücke kann in Bezug auf unsere LinOTP-Produkte nicht im Betrieb über das Netzwerk ausgenutzt werden.

Die Sicherheitslücke Shell Shock wurde unter der CVE-2014-6271 und folgende veröffentlicht. Die Lücke tritt in der sehr weit verbreiteten Shell BASH auf und kann zur unbeabsichtigten Ausführung beliebiger Kommandos genutzt werden. Besondere Kritikalität erlangt diese Lücke durch die Ausnutzbarkeit über ungenügend konfigurierte Webschnittstellen.

Die LSE Leading Security Experts GmbH hat Ihre Produkte auf diese Lücke hin genau untersucht. IIm Ergebnis der Analyse kann die Lücke NICHT über einen externen Zugriff auf die bekannten oder möglichen Angriffsvektoren ausgenutzt werden. Es ergibt sich keine Ausnutzbarkeit der Lücke über die von LinOTP und der LSE LinOTP Smart Virtual Appliance zur Verfügung gestellten Schnittstellen. Es werden an keiner Stelle Umgebungsvariablen aus externen Daten direkt an die Kommandozeile weitergereicht.

Im Zusammenhang mit unserer LSE LinOTP Smart Virtual Appliance und LSE LinOTP Hardware Appliance kommt die GNU Bash durchaus zum Einsatz. Selbstverständlich haben wir für das betroffene Paket rein vorsorglich ein Update zur Verfügung stellen, welches die bekannten Lücken schließt, auch wenn diese nicht extern ausgenutzt werden können.

Nutzern von nativen Installationen von LinOTP, d.h. auf entsprechenden Linux Distributionen, empfehlen wir ebenfalls, die relevanten Betriebssystem Patches als Vorsorgemaßnahme einzuspielen.

Updates werden über die Ihnen bekannten Mechanismen zur Verfügung gestellt, wie das automatische Update oder die vorgesehenen manuellen Funktionen.

Falls Sie das automatisches Update nicht aktiviert haben, können Sie die LSE LinOTP Smart Virtual Appliance manuell wie folgt auf den neuesten Stand des Appliance-Betriebssystems und LinOTP bringen:

(Bitte beachten Sie, dass damit auch alle anderen Pakete inkl. LinOTP aktualisiert werden. Bitte wenden Sie sich an unseren Support, falls Sie Gründe dafür haben, nur einzelne Pakete einzuspielen.)

1. Login per SSH auf der LSE LinOTP Smart Virtual Appliance (user: root),

2. Ausführung von appliance-update.sh

Sollten Sie bisher kein automatisches Update nutzen, erhalten Sie auch ein Update des Kernels. Wir empfehlen daher, nach dem Update ein Reboot (Befehl: reboot) durchzuführen.

Sollten Sie kein automatisches Update aktiviert haben und Ihre Appliance Software Version 1.0 oder älter sein, wenden Sie sich bitte an unsere Support Hotline ( 06151 86086 – 115 ). Wir helfen Ihnen gerne mit detaillierten Anweisungen für diesen Fall weiter. Das Update ist auch hier einfach einzuspielen, erfordert allerdings einen Kontextwechsel aus dem zur Eigenadministration vorgesehenen Bereich.
Mit freundlichen Grüßen

Ihr LSE LinOTP Team