CYBERSECURITY, IDENTITÄTSMANAGEMENT UND MULTI-FAKTOR-AUTHENTIFIZIERUNG

LSE LinOTP und LSE LinOTP Smart Virtual Appliance für Shell Shock-Sicherheitslücke NICHT anfällig

Lesezeit: 2 Minuten

Wir möchten Sie hiermit informieren, inwieweit die aktuell diskutierte Shell Shock-Lücke unsere Produkte betrifft.

Die im Zusammenhang mit der Shell „GNU Bash“ stehende Sicherheitslücke kann in Bezug auf unsere LinOTP-Produkte nicht im Betrieb über das Netzwerk ausgenutzt werden.

Die Sicherheitslücke Shell Shock wurde unter der CVE-2014-6271 und folgende veröffentlicht. Die Lücke tritt in der sehr weit verbreiteten Shell BASH auf und kann zur unbeabsichtigten Ausführung beliebiger Kommandos genutzt werden. Besondere Kritikalität erlangt diese Lücke durch die Ausnutzbarkeit über ungenügend konfigurierte Webschnittstellen.

Die LSE Leading Security Experts GmbH hat Ihre Produkte auf diese Lücke hin genau untersucht. IIm Ergebnis der Analyse kann die Lücke NICHT über einen externen Zugriff auf die bekannten oder möglichen Angriffsvektoren ausgenutzt werden. Es ergibt sich keine Ausnutzbarkeit der Lücke über die von LinOTP und der LSE LinOTP Smart Virtual Appliance zur Verfügung gestellten Schnittstellen. Es werden an keiner Stelle Umgebungsvariablen aus externen Daten direkt an die Kommandozeile weitergereicht.

Im Zusammenhang mit unserer LSE LinOTP Smart Virtual Appliance und LSE LinOTP Hardware Appliance kommt die GNU Bash durchaus zum Einsatz. Selbstverständlich haben wir für das betroffene Paket rein vorsorglich ein Update zur Verfügung stellen, welches die bekannten Lücken schließt, auch wenn diese nicht extern ausgenutzt werden können.

Nutzern von nativen Installationen von LinOTP, d.h. auf entsprechenden Linux Distributionen, empfehlen wir ebenfalls, die relevanten Betriebssystem Patches als Vorsorgemaßnahme einzuspielen.

Updates werden über die Ihnen bekannten Mechanismen zur Verfügung gestellt, wie das automatische Update oder die vorgesehenen manuellen Funktionen.

Falls Sie das automatisches Update nicht aktiviert haben, können Sie die LSE LinOTP Smart Virtual Appliance manuell wie folgt auf den neuesten Stand des Appliance-Betriebssystems und LinOTP bringen:

(Bitte beachten Sie, dass damit auch alle anderen Pakete inkl. LinOTP aktualisiert werden. Bitte wenden Sie sich an unseren Support, falls Sie Gründe dafür haben, nur einzelne Pakete einzuspielen.)

1. Login per SSH auf der LSE LinOTP Smart Virtual Appliance (user: root),

2. Ausführung von appliance-update.sh

Sollten Sie bisher kein automatisches Update nutzen, erhalten Sie auch ein Update des Kernels. Wir empfehlen daher, nach dem Update ein Reboot (Befehl: reboot) durchzuführen.

Sollten Sie kein automatisches Update aktiviert haben und Ihre Appliance Software Version 1.0 oder älter sein, wenden Sie sich bitte an unsere Support Hotline ( 06151 86086 – 115 ). Wir helfen Ihnen gerne mit detaillierten Anweisungen für diesen Fall weiter. Das Update ist auch hier einfach einzuspielen, erfordert allerdings einen Kontextwechsel aus dem zur Eigenadministration vorgesehenen Bereich.
Mit freundlichen Grüßen

Ihr LSE LinOTP Team

Von |2014-10-10T15:12:43+00:0010. Oktober, 2014 um 15:12 Uhr|KEYIDENTITY, LINOTP|Noch keine Kommentare

Über den Autor: