Shellshock erschreckt die Linux Community

Shellshock

Der kürzlich von Stéphane Chazelas gegenüber RedHat gemeldete Shellshock-Bug in der Bash-Shell hat die Unix- und Linux-Gemeinde aufgerüttelt. Mehrere Patches sollen das Problem beheben, das Ausmaß der Bedrohung ist noch nicht abzusehen.

Das liegt daran, dass die Shellshock Schwachstelle seit Jahren existiert und erst jetzt entdeckt wurde. So sind auch ältere Versionen der Bash Shell betroffen, die z.B. auch in Mac OS X Anwendung findet. Auch für das Internet der Dinge verheißt Shellshock nichts Gutes – Experten fürchten ein Massenproblem in Anwendungen wie Kameras oder Wearables.

Der Fehler nutzt Bashs Umgang mit Umgebungsvariablen aus. Wenn eine Umgebungsvariable  abgefragt wird, können innerhalb dieser Befehle an die Shell übermittelt und ausgeführt werden.

Auf der anderen Seite ist die Schwachstelle auch nicht bei jedem Server oder jeder Anwendung gegeben, nur weil sie auf Bash zurückgreift. Das Unheimliche am Shellshock Bug ist vor allem auch, dass er erst jetzt entdeckt wurde und Systemadministratoren und Anwender nun rätseln müssen, ob ihre Systeme in der Vergangenheit möglicherweise davon betroffen waren.

Ein Test, der momentan die Runde macht, ist der folgende Code:
$ env x='() { :;}; echo vulnerable‘ bash -c ‚echo hello‘

Wenn diese Zeile den String “vulnerable” ausgibt, dann solltet Ihr Eure Bash Shell updaten. Dazu wurde ein Patch für fast alle Linux-Distributionen veröffentlicht, der aber die Lücke (CVE-2014-6271) nur teilweise behebt. Das Resultat: Ein neues Problem mit einer neuen CVE-Nummer (2014-7169). Auch für dieses Problem gibt es mittlerweile Updates von RedHat und Fedora. Erste Sichtungen von auf Shellshock basierender Malware sind bereits gemeldet worden.

Tags :Quellen:RedHat (1), RedHat (2)

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Advertising