1998714

Erster ShellShock-Patch nur Flickwerk

26.09.2014 | 08:41 Uhr |

Eine uralte, gravierende Sicherheitslücke in der Unix-/Linux-Shell bash, die erst kürzlich bekannt wurde, sorgt weiter für Diskussionsstoff. Die bereits veröffentlichten Patches gängiger Linux-Distributionen greifen offenbar zu kurz.

Unter Linux-Benutzern gehört die bash (bourne again shell) zu den beliebtesten Varianten der Kommandozeilenumgebungen. Die Unix-Shell ist mit der Windows-Eingabeaufforderung vergleichbar, jedoch viel mächtiger als ihr Windows-Pendant. Die bash enthält offenbar schon seit 25 Jahren eine gravierende Schwachstelle , durch die Code über Umgebungsvariablen eingeschleust werden kann. Die Lücke ist auch unter Spitznamen wie ShellShock oder Bashbleed (in Anlehnung an die Heartbleed-Lücke in OpenSSL) bekannt. Und sie hat natürlich auch ein Logo bekommen. Es ähnelt dem eines bekannten Mineralölkonzerns.

ShellShock-Patch
Vergrößern ShellShock-Patch

Für die gängigen Linux-Distributionen wie Debian, Ubuntu, SUSE oder RedHat sind bereits Patches erhältlich, die den Fehler beheben sollen. Doch Sicherheitsforscher haben bereits Wege gefunden, um die Lücke trotz installierter Updates auszunutzen. Um Verwirrung zu vermeiden, hat die nur halb gestopfte Lücke eine eigene Fehlernummer erhalten. Während die ursprüngliche ShellShock-Lücke den offiziellen Bezeichner CVE-2014-6271 trägt, hat die neue Variante die Fehlernummer CVE-2014-7169 bekommen.

Das Sicherheitsunternehmen Rapid7 hat bereits zwei Metasploit-Module bereit gestellt. Damit können Penetrationstester und Administratoren Systeme auf Anfälligkeit für die bash-Lücke prüfen. Die Zahl der bislang gefundenen, über das Internet angreifbaren Systeme scheint weit geringer zu sein als zunächst erwartet. Ausmaße wie bei Heartbleed nimmt das Problem offenbar nicht an.

Das liegt zum Teil daran, dass modernere Web-Applikationen nicht mehr über CGI (Common Gateway Interface) mit dem System kommunizieren. Auch viele auf Embedded Linux basierende Router sind entgegen ersten Annahmen nicht angreifbar, da sie BusyBox verwenden, das für ShellShock-Attacken nicht anfällig ist. Doch wie Heartbleed wird diese Lücke nicht so schnell verschwinden, da viele Systeme selten oder gar nicht aktualisiert werden. Dies dürfte insbesondere für Steuerungssysteme in Industrieanlagen gelten.

0 Kommentare zu diesem Artikel
1998714