Kritische Sicherheitslücke in Linux- und Unix-Shell Bash entdeckt

Red Hat hat vor einer Sicherheitslücke in der unter Linux und Unix verwendeten Shell Bash gewarnt. Der als kritisch eingestufte Fehler erlaubt es unter Umständen, aus der Ferne und ohne Authentifizierung Shell-Befehle auf einem Linux- oder Unix-Server auszuführen. Ein Patch für die Anfälligkeit liegt bereits vor. Aufgrund der hohen Verbreitung der Bourne-Again Shell (Bash) vergleicht Errata Security die Schwachstelle mit der OpenSSL-Lücke Heartbleed.

Der Fehler beruht auf der Art, wie Bash Umgebungsvariablen prüft. Mit einer speziell gestalteten Variablen könnte ein Hacker Shell-Befehle ausführen und damit einen Server für noch schwerwiegendere Angriffe vorbereiten.

Ein Angreifer muss aber bereits Zugang zu einem Server haben, auf dem Bash läuft. Allerdings erlauben laut Red Hat bestimmte Dienste und Applikationen Angreifern auch ohne Passwortabfrage Zugriff auf Umgebungsvariablen, wodurch sie dann auch den Fehler für ihre Zwecke einsetzen könnten.

Ein Web-Server kann beispielsweise gehackt werden, wenn eine Anwendung einen Bash-Shell-Befehl per HTTP oder ein Common Gateway Interface (CGI) so aufruft, dass ein Nutzer eigene Daten einfügen kann. „Die Anfälligkeit betrifft wahrscheinlich viele Anwendungen, die Nutzereingaben prüfen und andere Anwendungen über eine Shell aufrufen“, kommentiert Andy Ellis, Chief Security Officer von Akamai.

Ein besonders hohes Risiko besteht, wenn eine Web-Anwendung ein Script mit Root-Rechten aufruft. „In diesem Fall würde ein Angreifer sogar mit einem Mord auf einem Server davonkommen“, schreibt ZDNet.com-Blogger Steven J. Vaughan-Nichols. Betroffenen Serverbetreibern empfiehlt er, die Eingaben von Web-Anwendungen zu bereinigen und CGI-Skripte zu deaktivieren. Server, die bereits vor gängigen Angriffen wie Cross-Site-Scripting und SQL Injection geschützt seien, seien weniger anfällig für eine Attacke per Bash. Akamai rät zudem zum Einsatz einer anderen Shell als Bash.

Nach Ansicht des Sicherheitsanbieters Errata Security ist die Bash-Lücke ähnlich schwerwiegend wie der als Heartbleed bezeichnete Bug in OpenSSL, der Anfang des Jahres für Aufsehen gesorgt hatte. Ähnlich wie OpenSSL, das in zahllosen Softwarepaketen integriert sei, könne eine Shell mit einer Vielzahl von Anwendungen interagieren. „Wir werden niemals in der Lage sein, alle Software zu katalogisieren, die für den Bash-Bug anfällig ist“, schreibt Robert Graham im Errata-Blog.

Darüber hinaus geht Errata davon aus, dass wie auch bei Heartbleed eine unbekannte Zahl von Systemen nicht gepatcht wird. Das gelte wahrscheinlich in erster Linie für Geräte wie internetfähige Kameras. Deren Software basiere oft zu großen Teilen auf webfähigen Bash-Skripten. „Es ist nicht nur weniger wahrscheinlich, dass sie gepatcht werden, sondern auch wahrscheinlich, dass sie von außen angreifbar sind“, so Graham weiter. Außerdem existiere der Fehler in Bash schon über einen längeren Zeitraum. Die Zahl der Geräte, die gepatcht werden müssten, aber wohl nie ein Update erhalten, sei damit viel größer als bei Heartbleed.

[mit Material von Steven J. Vaughan-Nichols, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

2 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

3 Tagen ago