Erster ShellShock-Patch nur Flickwerk

Unter Linux-Benutzern gehört die bash (bourne again shell) zu den beliebtesten Varianten der Kommandozeilenumgebungen. Die Unix-Shell ist mit der Windows-Eingabeaufforderung vergleichbar, jedoch viel mächtiger als ihr Windows-Pendant. Die bash enthält offenbar schon seit 25 Jahren eine gravierende Schwachstelle , durch die Code über Umgebungsvariablen eingeschleust werden kann. Die Lücke ist auch unter Spitznamen wie ShellShock oder Bashbleed (in Anlehnung an die Heartbleed-Lücke in OpenSSL) bekannt. Und sie hat natürlich auch ein Logo bekommen. Es ähnelt dem eines bekannten Mineralölkonzerns.

Für die gängigen Linux-Distributionen wie Debian, Ubuntu, SUSE oder RedHat sind bereits Patches erhältlich, die den Fehler beheben sollen. Doch Sicherheitsforscher haben bereits Wege gefunden, um die Lücke trotz installierter Updates auszunutzen. Um Verwirrung zu vermeiden, hat die nur halb gestopfte Lücke eine eigene Fehlernummer erhalten. Während die ursprüngliche ShellShock-Lücke den offiziellen Bezeichner CVE-2014-6271 trägt, hat die neue Variante die Fehlernummer CVE-2014-7169 bekommen. Das Sicherheitsunternehmen Rapid7 hat bereits zwei Metasploit-Module bereit gestellt. Damit können Penetrationstester und Administratoren Systeme auf Anfälligkeit für die bash-Lücke prüfen. Die Zahl der bislang gefundenen, über das Internet angreifbaren Systeme scheint weit geringer zu sein als zunächst erwartet. Ausmaße wie bei Heartbleed nimmt das Problem offenbar nicht an.

Das liegt zum Teil daran, dass modernere Web-Applikationen nicht mehr über CGI (Common Gateway Interface) mit dem System kommunizieren. Auch viele auf Embedded Linux basierende Router sind entgegen ersten Annahmen nicht angreifbar, da sie BusyBox verwenden, das für ShellShock-Attacken nicht anfällig ist. Doch wie Heartbleed wird diese Lücke nicht so schnell verschwinden, da viele Systeme selten oder gar nicht aktualisiert werden. Dies dürfte insbesondere für Steuerungssysteme in Industrieanlagen gelten.