Start Empfohlen Shellshock Bash Bug könnte größer sein als Heartbleed

Shellshock Bash Bug könnte größer sein als Heartbleed

3
0


Hammer Diskettenlaufwerk

Obwohl es den Anschein hat, dass der Heartbleed-Bug nicht ausgenutzt wurde, bevor seine Existenz bekannt wurde, bedeutet das nicht, dass sich die Sicherheitswelt auf seinen Lorbeeren ausruhen kann.

Das neueste Problem, das aufgedeckt wird, ist ein Fehler im häufig verwendeten Bash-Befehlsinterpreter, der ein kritisches Risiko für Linux- und Unix-Systeme darstellt. Und da diese das Rückgrat des Internets bilden und auch in vielen anderen Systemen vorhanden sind, ist es auch für uns eine Bedrohung.

Der vom Linux-Spezialisten Stephane Chazelas entdeckte Fehler namens Shellshock ist in Bash-Versionen bis einschließlich 4.3 vorhanden und möglicherweise schon seit vielen Jahren vorhanden. Es stellt ein besonderes Risiko für Apache-Webserver dar. CGI-Skripte, die Bash verwenden oder aufrufen, sind anfällig für Remote-Code-Injection. Dies schließt alle untergeordneten Prozesse ein, die von einem Skript erzeugt werden. OpenSSH und einige DHCP-Clients sind auch auf Maschinen betroffen, die Bash verwenden.

Auf Debian basierende Systeme – einschließlich Ubuntu – sollten nicht gefährdet sein, da sie Dash verwenden. Es ist jedoch möglich, dass Versionen von Bash vorhanden sind, daher ist es wichtig, dass Administratoren überprüfen, welche Interpreter installiert sind, und sie bei Bedarf patchen.

Laut Darien Kindlund vom Sicherheitsunternehmen FireEye, „Es ist schlimmer als Heartbleed, da es Server betrifft, die bei der Verwaltung enormer Mengen an Internetverkehr helfen. Konservativ sind die Auswirkungen zwischen 20 und 50 Prozent der globalen Server, die Webseiten unterstützen.“

Ein weiteres Problem ist, dass Apple-Systeme Bash als Basis ihres Kommandozeilen-Terminalprogramms verwenden. Außerdem Robert Graham von Errata-Sicherheit warnt davor, dass „Internet-of-Things-Geräte wie Videokameras besonders anfällig sind, weil ein Großteil ihrer Software aus webfähigen Bash-Skripten erstellt wird. Daher werden sie nicht nur weniger wahrscheinlich gepatcht, sondern sie enthüllen auch eher die“ Verletzlichkeit gegenüber der Außenwelt“.

Graham bemerkt auch: „Im Gegensatz zu Heartbleed, das nur eine bestimmte Version von OpenSSL betraf, gibt es diesen Bash-Bug schon seit langer, langer Zeit. Das bedeutet, dass viele alte Geräte im Netzwerk anfällig für diesen Fehler sind. Die Anzahl der Systeme gepatcht werden muss, was aber nicht der Fall ist, ist viel größer als Heartbleed“.

Linux-Distributionen haben schnell reagiert und Patches sind für die meisten wichtigen Varianten bereits verfügbar. Apple musste zum Zeitpunkt des Schreibens noch nicht antworten, aber Ratschläge zum Testen und Reagieren auf Shellshock sind verfügbar unter StackExchange.

Sicherheitsfirma Secunia hat eine Empfehlung veröffentlicht, in der es heißt, dass der von GNU – dem Open-Source-Projekt hinter Bash – herausgegebene Patch ineffektiv ist, aber GNU wird voraussichtlich „heute einen weiteren Patch aufgrund der Kritikalität dieser Schwachstelle veröffentlichen“.

Sicherheitsforscher Bromium Labs schlägt vor: „… dies wird wahrscheinlich nicht die letzte Schwachstelle sein, die in Bash gefunden wurde. Anwendungsentwickler sollten versuchen, den Aufruf von Shells zu vermeiden, es sei denn, dies ist unbedingt erforderlich, oder verwenden minimalistische Shells, wenn dies erforderlich ist“.

Bildnachweis: Schukow / Shutterstock



Vorheriger ArtikelITIF sagt, Europa sei „fehlgeleitet“, wenn es kartellrechtliche Vorwürfe gegen Google erhebt
Nächster ArtikelDie Vorteile von Disaster Recovery in der Cloud

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein