Shellshock: Neuer Patch für Bash-Lücke in Linux und OS X veröffentlicht

Seit Freitag steht ein weiteres Update für die Sicherheitslücke in der Bourne-Again Shell (Bash) zur Verfügung. von der Schwachstelle sind zahlreiche Versionen von Linux, Unix und Mac OS X betroffen. Schon kurz nach Bekanntwerden der Lücke hatte Red Hat eingeräumt, dass neben der als Shellshock bezeichneten Anfälligkeit CVE-2014-6271 weitere Schwachstellen in der Open-Source-Software stecken.

„Kurz nachdem das Problem bekannt geworden ist, hat ein Forscher einen ähnlichen Fehler gefunden, der durch den ersten Fix nicht blockiert wurde“, teilte Red Hat mit. Dabei handele es sich um die Lücke mit der Kennung CVE-2014-7169. „Dieser Fehler ist auch ein Sicherheitsproblem, aber es ist nicht so schlimm wie der andere Fehler.“

Darüber hinaus entdeckte Florian Weimer, Product Security Researcher bei Red Hat, zwei weitere Anfälligkeiten (CVE-2014-7186 und CVE-2014-7187). Diese sind nach Angaben des Unternehmens weniger kritisch als die beiden anderen und werden ebenfalls durch den neuen Patch korrigiert. „Die jüngste Bash-Version beseitigt alle CVE-Probleme“, sagte Red-Hat-Mitarbeiter Huzaifa Sidhpurwala im Gespräch mit ZDNet.com.

Nutzer, die herausfinden wollen, ob ihre Bash-Version vollständig, teilweise oder gar nicht gepatcht ist, können verschiedene Befehle in Bash ausführen, die je nach Ergebnis über den Patch-Stand informieren. Details dazu hat Red Hat auf seiner Website veröffentlicht.

Eine in Neuseeland ansässige IT-Sicherheitsfirma hat indes darauf hingewiesen, dass Hacker inzwischen nach Servern mit unsicheren Bash-Versionen scannen. Etwa 10 Prozent der Scans sind laut Aura Information Security Versuche, die Anfälligkeiten auszunutzen. Bis Freitag seien 190 Angriffe registriert worden.

Am einfachsten sei es, Websites anzugreifen, sagte Andy Prow, Chief Executive Officer von Aura Information Security. Exploits für Shellshock seien „recht trivial“. Ein Angreifer benötige nur wenig Fachwissen. Besonders anfällig seien Websites, die CGI-Skripte verwendeten. Die Wahrscheinlichkeit eines erfolgreichen Angriffs sei in dem Fall sehr hoch. Neben Websites seien wahrscheinlich aber auch Geräte wie Network Attached Storage angreifbar.

Das UK CERT warnt in einer aktualisierten Sicherheitsmeldung, dass Shellshock sogar noch deutlich mehr Systeme betreffen könnte als der im April entdeckte Heartbleed-Bug in OpenSSL, der Zugriff auf den flüchtigen Speicher eines Webservers ermöglichte. Ein Grund dafür ist, dass rund 500 Millionen Websites auf Apache-Webservern laufen, die wahrscheinlich Linux einsetzen und somit mit Sicherheit Bash installiert haben, wie der australische Sicherheitsforscher Troy Hunt anmerkt.

[mit Material von Steven J. Vaughan-Nichols, ZDNet.com, und Rob O’Neill, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de