Bash Bug Shellshock: neuer Patch schließt weitere Sicherheitslücken

Neben der Shellshock-Lücke wurden in der Bash-Shell drei weitere weniger kritische Fehler (CVE-2014-7169, CVE-2014-7186 und CVE-2014-7187) entdeckt, die der neue Patch behebt. Die neuste Bash-Version beseitigt nun alle CVE-Probleme und sollte umgehend einspielt werden.

Der am Freitag veröffentlichte Patch schließt laut Red Hat drei weitere Sicherheitslücken in der Bash-Shell, die der erste Fix nicht beseitigte. Diese sind allerdings nicht so schwerwiegend wie die zuerst entdeckte Shellshock-Schwachstelle in der Bourne-Again-Shell (CVE-2014-6271), von der viele Versionen von Linux, Unix und Mac OS X betroffen sind.

Bash Bug Shellshock: neuer Patch schließt weitere Sicherheitslücken

Ein Forscher war laut Red Hat kurz nach der Entdeckung der Shellshock-Lücke auf eine ähnliche Anfälligkeit in der Bash-Shell (CVE-2014-7169) gestoßen, die ebenfalls ein Sicherheitsrisiko darstellte, aber ein nicht so hohes wie der ursprüngliche Fehler. Die zwei weiteren Sicherheitslücken (CVE-2014-7186 und CVE-2014-7187) entdeckte Florian Weimer, Product Security Researcher bei Red Hat. Sie sind noch etwas weniger kritisch als die beiden anderen. “Die jüngste Bash-Version beseitigt alle CVE-Probleme”, sagte Red-Hat-Mitarbeiter Huzaifa Sidhpurwala im Gespräch mit ZDNet.com.

Um herauszufinden, ob die verwendete Bash-Version vollständig, teilweise oder gar nicht gepatcht ist, können Nutzer verschiedene Befehle in Bash ausführen, die je nach Ergebnis über den Patch-Stand informieren. Details dazu hat Red Hat auf seiner Website veröffentlicht.

Eine in Neuseeland ansässige IT-Sicherheitsfirma hat indes darauf hingewiesen, dass Hacker inzwischen nach Servern mit unsicheren Bash-Versionen scannen. Etwa 10 Prozent der Scans sind laut Aura Information Security Versuche, die Anfälligkeiten auszunutzen. Bis Freitag seien 190 Angriffe registriert worden.

Andy Prow, Chief Executive Officer von Aura Information Security, zufolge sei es am einfachsten, Webseiten anzugreifen. Exploits für Shellshock seien “recht trivial”. Ein Angreifer benötige nur wenig Fachwissen. Besonders anfällig seien Webseiten, die CGI-Skripte verwendeten. Die Wahrscheinlichkeit eines erfolgreichen Angriffs sei in dem Fall sehr hoch. Neben Webseiten seien wahrscheinlich aber auch Geräte wie Network Attached Storage angreifbar.

Das UK CERT warnt in einer aktualisierten Sicherheitsmeldung, dass Shellshock sogar noch deutlich mehr Systeme betreffen könnte als der im April entdeckte Heartbleed-Bug in OpenSSL, der Zugriff auf den flüchtigen Speicher eines Webservers ermöglichte. Ein Grund dafür ist, dass rund 500 Millionen Websites auf Apache-Webservern laufen, die wahrscheinlich Linux einsetzen und somit mit Sicherheit Bash installiert haben, wie der australische Sicherheitsforscher Troy Hunt anmerkt.

[Mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Autor: Christian Schartel
Christian Schartel Christian Schartel Christian Schartel

Neueste Kommentare 

Noch keine Kommentare zu Bash Bug Shellshock: neuer Patch schließt weitere Sicherheitslücken

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *