Kritische Sicherheitslücke in Linux- und Unix-Shell Bash entdeckt

Red Hat hat vor einer Sicherheitslücke in der unter Linux und Unix verwendeten Shell Bash gewarnt. Der als kritisch eingestufte Fehler erlaubt es unter Umständen, aus der Ferne und ohne Authentifizierung Shell-Befehle auf einem Linux- oder Unix-Server auszuführen. Ein Patch für die Anfälligkeit liegt bereits vor. Aufgrund der hohen Verbreitung der Bourne-Again Shell (Bash) vergleicht Errata Security die Schwachstelle mit der OpenSSL-Lücke Heartbleed.

Bash Logo

Der Fehler beruht auf der Art, wie Bash Umgebungsvariablen prüft. Mit einer speziell gestalteten Variablen könnte ein Hacker Shell-Befehle ausführen und damit einen Server für noch schwerwiegendere Angriffe vorbereiten.

Ein Angreifer muss aber bereits Zugang zu einem Server haben, auf dem Bash läuft. Allerdings erlauben laut Red Hat bestimmte Dienste und Applikationen Angreifern auch ohne Passwortabfrage Zugriff auf Umgebungsvariablen, wodurch sie dann auch den Fehler für ihre Zwecke einsetzen könnten.

Ein Web-Server kann beispielsweise gehackt werden, wenn eine Anwendung einen Bash-Shell-Befehl per HTTP oder ein Common Gateway Interface (CGI) so aufruft, dass ein Nutzer eigene Daten einfügen kann. „Die Anfälligkeit betrifft wahrscheinlich viele Anwendungen, die Nutzereingaben prüfen und andere Anwendungen über eine Shell aufrufen“, kommentiert Andy Ellis, Chief Security Officer von Akamai.

Ein besonders hohes Risiko besteht, wenn eine Web-Anwendung ein Script mit Root-Rechten aufruft. „In diesem Fall würde ein Angreifer sogar mit einem Mord auf einem Server davonkommen“, schreibt ZDNet.com-Blogger Steven J. Vaughan-Nichols. Betroffenen Serverbetreibern empfiehlt er, die Eingaben von Web-Anwendungen zu bereinigen und CGI-Skripte zu deaktivieren. Server, die bereits vor gängigen Angriffen wie Cross-Site-Scripting und SQL Injection geschützt seien, seien weniger anfällig für eine Attacke per Bash. Akamai rät zudem zum Einsatz einer anderen Shell als Bash.

Nach Ansicht des Sicherheitsanbieters Errata Security ist die Bash-Lücke ähnlich schwerwiegend wie der als Heartbleed bezeichnete Bug in OpenSSL, der Anfang des Jahres für Aufsehen gesorgt hatte. Ähnlich wie OpenSSL, das in zahllosen Softwarepaketen integriert sei, könne eine Shell mit einer Vielzahl von Anwendungen interagieren. „Wir werden niemals in der Lage sein, alle Software zu katalogisieren, die für den Bash-Bug anfällig ist“, schreibt Robert Graham im Errata-Blog.

Darüber hinaus geht Errata davon aus, dass wie auch bei Heartbleed eine unbekannte Zahl von Systemen nicht gepatcht wird. Das gelte wahrscheinlich in erster Linie für Geräte wie internetfähige Kameras. Deren Software basiere oft zu großen Teilen auf webfähigen Bash-Skripten. „Es ist nicht nur weniger wahrscheinlich, dass sie gepatcht werden, sondern auch wahrscheinlich, dass sie von außen angreifbar sind“, so Graham weiter. Außerdem existiere der Fehler in Bash schon über einen längeren Zeitraum. Die Zahl der Geräte, die gepatcht werden müssten, aber wohl nie ein Update erhalten, sei damit viel größer als bei Heartbleed.

[mit Material von Steven J. Vaughan-Nichols, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Neueste Kommentare 

8 Kommentare zu Kritische Sicherheitslücke in Linux- und Unix-Shell Bash entdeckt

Kommentar hinzufügen
  • Am 25. September 2014 um 23:26 von Andrea

    hi Team on zdnet.de:

    es ist bereits längst eine viel neuere Version raus und zwar Version 4.3.9! Diese ist bereits in Ubuntu 14.10 installiert. Und diese neue Version wirft beim Ausführen auf meinem Notebook eine Fehlermeldung zurück:

    andrea@andrea-SATELLITE-C850-1LQ:~$ x=“() { :;}; echo gehackt“ bash -c „“
    bash: Warnung: x: ignoring function definition attempt
    bash: Fehler beim Importieren der Funktionsdefinition für »x«.
    andrea@andrea-SATELLITE-C850-1LQ:~$

    Von daher sieht es so aus, als ist dieser Fehler in Version 4.3.9 bereits behoben. Von daher ist diese Meldung bereits wieder überflüssig.

    • Am 25. September 2014 um 23:35 von Björn Greif

      Es ist richtig, dass es eine fehlerbereinigte Version gibt. Im Text heißt es ja auch: „Ein Patch für die Anfälligkeit liegt bereits vor.“ Allerdings können ältere Systeme, die noch nicht gepatcht wurden, weiterhin anfällig sein (siehe letzter Absatz).

    • Am 26. September 2014 um 8:44 von hermannk

      > Akamai rät zudem zum Einsatz einer anderen Shell als Bash.

      … und Akamai garantiert, dass die „andere Shell“ fehlerfrei ist?

      @hi Team: Danke für dein Beispiel. Leider verstehe ich es nicht (=mein Fehler). Das nächste Problem ist, dass die Kommentarfunktion die double quotes umwandelt. Aber das habe ich natürlich in den Griff bekommen. Am Ende zeigten sowohl Ubuntu 14.10 als auch die Bash unter Debian Wheezy (revision 4.2.37, Banana Pi) die von dir angegebene Fehlermeldung. Was macht die Funktion und was wird im Fehlerfall angezeigt?

    • Am 26. September 2014 um 11:57 von GGF

      Dafür ist er aber immer noch im OSX von Apple. Ich habe alle Updates auf meinem iMac. Trotzdem ist das System anfällig.
      Hier der Link zum Spiegelbericht:
      http://www.spiegel.de/netzwelt/web/sicherheitsluecke-shellshock-bedroht-linux-rechner-und-macs-a-993688.html
      Dort wird auch beschriben wie man seinen eigenen Apple-Rechner Prüfen kann.

      • Am 26. September 2014 um 15:13 von Hehehe

        Wieso kann ich nicht glauben, dass Du einen Mac hast? ;-)

        Und der Artikel im Spiegel ist ziemlich dreist: es ist ein allgemeines UNIX BASH Problem, der Autor ist sich aber nicht zu schade – der höheren Klickzahlen – im Titel gleich vorneweg ‚Apple‘ fallen zu lassen – und dann im Beitrag nebenher zu erwähnen, ja, auch (!) Apple sei betroffen, aber eben jedes Unix System.

        Der Spiegel ist auch nicht mehr das, was er mal war.

        • Am 26. September 2014 um 16:47 von punisher

          Stell dir vor die meisten Nutzer von apple macbooks und macs wissen nicht was Unix ist. War das jetzt so schlimm apple zu erwähnen? Ich meine, es ist ja so! Aber weils apple ist, ist es natürlich nicht so gut über negative Sachen zu lesen. Besonders wenn man immer von der Sicherheit von apple predigt.

    • Am 26. September 2014 um 13:41 von Andreas

      Auch ein wenig naiv, oder?

      Schonmal darüber nachgedacht das nicht alle Systeme sofort gepatched werden können und das es durchaus Sinn macht derartige Meldungen weit gefächert in die Menge zu schmeissen?

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *