Bash ist die Kommandozeile von OS X, Linux und vielen Unix-Systemen. Eine Sicherheitslücke erlaubt Angreifern die Ausführung von Befehlen, die sich zu schadhaften Zwecken einsetzen lassen. Da Bash auf vielen Servern und auch eingebetteten Systemen zum Einsatz kommt, könnte das Ausmaß schlimmer sein als beim Heartbleed-Fehler.
Sicherheitslücke in der Shell
Der Bash Bug tritt auf allen Systemen auf, welche die Eingabeaufforderung (Shell) Bash nutzen. Dazu zählen die meisten Unix-Betriebssysteme, viele Linux-Varianten und auch Mac OS X von Apple. Die sogenannte Shellshock-Sicherheitslücke erlaubt Angreifern das Ausführen von Schadcode über das Internet.
Die Schwachstelle ermöglicht das Einfügen von Befehlen in Umgebungsvariablen, die Bash beim Aufruf einer neuen Shell ausführt. Auf Webservern und auch in Unix- oder Linux-Umgebungen gibt es unzählige Szenarien, in denen Bash zum Einsatz kommt, weshalb die Angriffsmöglichkeiten vielfältig sind.
Test der Eingabeaufforderung
Ein einfacher Test der Kommandozeile zeigt, ob ein System betroffen ist. In der Eingabeaufforderung wird folgender Code eingegeben:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"Ein betroffenes System antwortet mit:
vulnerablethis is a test
So können sich Anwender schützen
Folgende Linux-Distributionen bieten bereits einen Patch zur Behebung der Shellshock-Sicherheitslücke in ihren Betriebssystemen an:
Von Apple gibt es noch keinen offiziellen Patch, um die Sicherheitslücke in Mac OS X zu beseitigen. StackExchange bietet eine ausführliche Anleitung, wie sich diverse Versionen von Bash in Mac OS X 10.9.5 aktualisieren lassen.
Warum Shellshock ein großes Problem ist
Der Bash Bug und die Shellshock-Sicherheitslücke existieren in ihrer jetzigen Form seit längerer Zeit, weshalb davon auszugehen ist, dass weltweit sehr viele Systeme betroffen sind. Viele Webserver laufen unter Linux, aber auch Geräte wie Router oder Flachbildfernseher. Viele Programme nutzen die Shell in irgendeiner Form. Deshalb ist es schwierig, anfällige Software zu katalogisieren. Der Sicherheitsexperte Robert Graham schätzt das Ausmaß von Shellshock größer als Heartbleed ein.
This ‘bash’ bug is probably a bigger deal than Heartbleed, btw.
— Robert Graham (@ErrataRob) September 24, 2014
Vor allem ältere Server und Geräte können auf lange Zeit anfällig bleiben oder sich gar nicht erst aktualisieren lassen. Systeme und Geräte, die eine andere Shell als Bash (beispielsweise BusyBox) nutzen, sind von der Shellshock-Sicherheitslücke nicht betroffen.
Quelle: Debian | Red Had Security Blog
Passende Artikel
Nach dem Heartbleed-Desaster: So machen Sie Ihre Internetkonten wieder sicher
Heartbleed: Wie ich meine 14 wichtigsten Passwörter in 19 Minuten änderte
Heartbleed-Fehler: Informationen zur OpenSSL-Sicherheitslücke und Listen der betroffenen Seiten
