Bash Bug: Sicherheitslücke in Linux- und Unix-Shell schlimmer als Heartbleed?

Die Sicherheitslücke betrifft die weit verbreitete Bash-Shell von Linux- und Unix-Systemen. Angreifer können unter Umständen Shell-Befehle auf einem Linux- oder Unix-Server ausführen. Ein Patch wurde bereits veröffentlicht. Einem Sicherheitsexperten zufolge sei der Bash Bug gefährlicher als die OpenSSL-Lücke Heartbleed.

In der Bash-Shell, die unter Linux und Unix zum Einsatz kommt, wurde eine schwerwiegende Sicherheitslücke entdeckt, die es Angreifern unter Umständen ermöglicht, ohne Authentifizierung Shell-Befehle per Remote-Zugriff auf einem Linux- oder Unix-Server auszuführen. Vor dem als kritisch eingestuften Fehler warnt Red Hat über Bugzilla. Ein Fix, der die Sicherheitslücke schließt, wurde bereits veröffentlicht.

Bash Bug: Sicherheitslücke in Linux- und Unix-Shell schlimmer als Heartbleed?

Die sogenannte Bourne-Again Shell (Bash) ist so weit verbreitet, dass der Sicherheitsexperte Robert Graham von Errata Security die Schwachstelle mit der OpenSSL-Lücke Heartbleed vergleicht. Er warnt davor, dass der Bash Bug-Fehler genauso gefährlich ist wie die Anfang April entdeckte Anfälligkeit in OpenSSL, da er auch noch mit einem großen Anteil anderer Software auf unvorhersehbare Weise wechselwirkt. Kurze Zeit später revidierte der Sicherheitsexperte seine Aussage und twitterte, dass der Shell-Fehler ein größeres Problem sei als Heartbleed. Die Sicherheitslücke soll einem weiteren Tweet zufolge auch bereits massiv ausgenutzt werden.

“Wir werden niemals in der Lage sein, alle Software zu katalogisieren, die für den Bash-Bug anfällig ist”, schreibt Robert Graham im Errata-Blog. Darüber hinaus geht Errata davon aus, dass wie auch bei Heartbleed eine unbekannte Zahl von Systemen nicht gepatcht wird: nach sechs Monaten seien immer noch Hunderttausende Systeme für Heartbleed anfällig. Das gelte beim Bash Bug wahrscheinlich in erster Linie für Geräte wie internetfähige Kameras. Deren Software basiere oft zu großen Teilen auf webfähigen Bash-Skripten. “Es ist nicht nur weniger wahrscheinlich, dass sie gepatcht werden, sondern auch wahrscheinlich, dass sie von außen angreifbar sind”, so Graham weiter. Außerdem existiere der Fehler in Bash schon über einen längeren Zeitraum. Die Zahl der Geräte, die gepatcht werden müssten, aber wohl nie ein Update erhalten, sei damit viel größer als bei Heartbleed.

Der Fehler beruht auf der Art, wie Bash Umgebungsvariablen prüft. Mit einer speziell gestalteten Variablen könnte ein Hacker Shell-Befehle ausführen und damit einen Server für noch schwerwiegendere Angriffe vorbereiten.

Ein Angreifer muss aber bereits Zugang zu einem Server haben, auf dem Bash läuft. Allerdings erlauben laut Red Hat bestimmte Dienste und Applikationen Angreifern auch ohne Passwortabfrage Zugriff auf Umgebungsvariablen, wodurch sie dann auch den Fehler für ihre Zwecke einsetzen könnten.

Ein Web-Server kann beispielsweise gehackt werden, wenn eine Anwendung einen Bash-Shell-Befehl per HTTP oder ein Common Gateway Interface (CGI) so aufruft, dass ein Nutzer eigene Daten einfügen kann. “Die Anfälligkeit betrifft wahrscheinlich viele Anwendungen, die Nutzereingaben prüfen und andere Anwendungen über eine Shell aufrufen”, kommentiert Andy Ellis, Chief Security Officer von Akamai.

Ein besonders hohes Risiko besteht, wenn eine Web-Anwendung ein Script mit Root-Rechten aufruft. “In diesem Fall würde ein Angreifer sogar mit einem Mord auf einem Server davonkommen”, schreibt ZDNet.com-Blogger Steven J. Vaughan-Nichols. Betroffenen Serverbetreibern empfiehlt er, die Eingaben von Web-Anwendungen zu bereinigen und CGI-Skripte zu deaktivieren. Server, die bereits vor gängigen Angriffen wie Cross-Site-Scripting und SQL Injection geschützt seien, seien weniger anfällig für eine Attacke per Bash. Akamai rät zudem zum Einsatz einer anderen Shell als Bash.

[Mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Autor: Christian Schartel
Christian Schartel Christian Schartel Christian Schartel

Neueste Kommentare 

Noch keine Kommentare zu Bash Bug: Sicherheitslücke in Linux- und Unix-Shell schlimmer als Heartbleed?

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *