Shellshock: Neuer Patch für Bash-Lücke in Linux und OS X veröffentlicht

Seit Freitag steht ein weiteres Update für die Sicherheitslücke in der Bourne-Again Shell (Bash) zur Verfügung. von der Schwachstelle sind zahlreiche Versionen von Linux, Unix und Mac OS X betroffen. Schon kurz nach Bekanntwerden der Lücke hatte Red Hat eingeräumt, dass neben der als Shellshock bezeichneten Anfälligkeit CVE-2014-6271 weitere Schwachstellen in der Open-Source-Software stecken.

„Kurz nachdem das Problem bekannt geworden ist, hat ein Forscher einen ähnlichen Fehler gefunden, der durch den ersten Fix nicht blockiert wurde“, teilte Red Hat mit. Dabei handele es sich um die Lücke mit der Kennung CVE-2014-7169. „Dieser Fehler ist auch ein Sicherheitsproblem, aber es ist nicht so schlimm wie der andere Fehler.“

Darüber hinaus entdeckte Florian Weimer, Product Security Researcher bei Red Hat, zwei weitere Anfälligkeiten (CVE-2014-7186 und CVE-2014-7187). Diese sind nach Angaben des Unternehmens weniger kritisch als die beiden anderen und werden ebenfalls durch den neuen Patch korrigiert. „Die jüngste Bash-Version beseitigt alle CVE-Probleme“, sagte Red-Hat-Mitarbeiter Huzaifa Sidhpurwala im Gespräch mit ZDNet.com.

Nutzer, die herausfinden wollen, ob ihre Bash-Version vollständig, teilweise oder gar nicht gepatcht ist, können verschiedene Befehle in Bash ausführen, die je nach Ergebnis über den Patch-Stand informieren. Details dazu hat Red Hat auf seiner Website veröffentlicht.

Eine in Neuseeland ansässige IT-Sicherheitsfirma hat indes darauf hingewiesen, dass Hacker inzwischen nach Servern mit unsicheren Bash-Versionen scannen. Etwa 10 Prozent der Scans sind laut Aura Information Security Versuche, die Anfälligkeiten auszunutzen. Bis Freitag seien 190 Angriffe registriert worden.

Am einfachsten sei es, Websites anzugreifen, sagte Andy Prow, Chief Executive Officer von Aura Information Security. Exploits für Shellshock seien „recht trivial“. Ein Angreifer benötige nur wenig Fachwissen. Besonders anfällig seien Websites, die CGI-Skripte verwendeten. Die Wahrscheinlichkeit eines erfolgreichen Angriffs sei in dem Fall sehr hoch. Neben Websites seien wahrscheinlich aber auch Geräte wie Network Attached Storage angreifbar.

Das UK CERT warnt in einer aktualisierten Sicherheitsmeldung, dass Shellshock sogar noch deutlich mehr Systeme betreffen könnte als der im April entdeckte Heartbleed-Bug in OpenSSL, der Zugriff auf den flüchtigen Speicher eines Webservers ermöglichte. Ein Grund dafür ist, dass rund 500 Millionen Websites auf Apache-Webservern laufen, die wahrscheinlich Linux einsetzen und somit mit Sicherheit Bash installiert haben, wie der australische Sicherheitsforscher Troy Hunt anmerkt.

[mit Material von Steven J. Vaughan-Nichols, ZDNet.com, und Rob O’Neill, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

2 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

3 Tagen ago