Kritische Sicherheitslücke in Linux- und Unix-Shell Bash entdeckt

Red Hat hat vor einer Sicherheitslücke in der unter Linux und Unix verwendeten Shell Bash gewarnt. Der als kritisch eingestufte Fehler erlaubt es unter Umständen, aus der Ferne und ohne Authentifizierung Shell-Befehle auf einem Linux- oder Unix-Server auszuführen. Ein Patch für die Anfälligkeit liegt bereits vor. Aufgrund der hohen Verbreitung der Bourne-Again Shell (Bash) vergleicht Errata Security die Schwachstelle mit der OpenSSL-Lücke Heartbleed.

Der Fehler beruht auf der Art, wie Bash Umgebungsvariablen prüft. Mit einer speziell gestalteten Variablen könnte ein Hacker Shell-Befehle ausführen und damit einen Server für noch schwerwiegendere Angriffe vorbereiten.

Ein Angreifer muss aber bereits Zugang zu einem Server haben, auf dem Bash läuft. Allerdings erlauben laut Red Hat bestimmte Dienste und Applikationen Angreifern auch ohne Passwortabfrage Zugriff auf Umgebungsvariablen, wodurch sie dann auch den Fehler für ihre Zwecke einsetzen könnten.

Ein Web-Server kann beispielsweise gehackt werden, wenn eine Anwendung einen Bash-Shell-Befehl per HTTP oder ein Common Gateway Interface (CGI) so aufruft, dass ein Nutzer eigene Daten einfügen kann. „Die Anfälligkeit betrifft wahrscheinlich viele Anwendungen, die Nutzereingaben prüfen und andere Anwendungen über eine Shell aufrufen“, kommentiert Andy Ellis, Chief Security Officer von Akamai.

Ein besonders hohes Risiko besteht, wenn eine Web-Anwendung ein Script mit Root-Rechten aufruft. „In diesem Fall würde ein Angreifer sogar mit einem Mord auf einem Server davonkommen“, schreibt ZDNet.com-Blogger Steven J. Vaughan-Nichols. Betroffenen Serverbetreibern empfiehlt er, die Eingaben von Web-Anwendungen zu bereinigen und CGI-Skripte zu deaktivieren. Server, die bereits vor gängigen Angriffen wie Cross-Site-Scripting und SQL Injection geschützt seien, seien weniger anfällig für eine Attacke per Bash. Akamai rät zudem zum Einsatz einer anderen Shell als Bash.

Nach Ansicht des Sicherheitsanbieters Errata Security ist die Bash-Lücke ähnlich schwerwiegend wie der als Heartbleed bezeichnete Bug in OpenSSL, der Anfang des Jahres für Aufsehen gesorgt hatte. Ähnlich wie OpenSSL, das in zahllosen Softwarepaketen integriert sei, könne eine Shell mit einer Vielzahl von Anwendungen interagieren. „Wir werden niemals in der Lage sein, alle Software zu katalogisieren, die für den Bash-Bug anfällig ist“, schreibt Robert Graham im Errata-Blog.

Darüber hinaus geht Errata davon aus, dass wie auch bei Heartbleed eine unbekannte Zahl von Systemen nicht gepatcht wird. Das gelte wahrscheinlich in erster Linie für Geräte wie internetfähige Kameras. Deren Software basiere oft zu großen Teilen auf webfähigen Bash-Skripten. „Es ist nicht nur weniger wahrscheinlich, dass sie gepatcht werden, sondern auch wahrscheinlich, dass sie von außen angreifbar sind“, so Graham weiter. Außerdem existiere der Fehler in Bash schon über einen längeren Zeitraum. Die Zahl der Geräte, die gepatcht werden müssten, aber wohl nie ein Update erhalten, sei damit viel größer als bei Heartbleed.

[mit Material von Steven J. Vaughan-Nichols, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de