25.09.2014, 10:22 Uhr
Grosse Linux-Sicherheitslücke entdeckt
Die Linux-Shell «Bash» soll unsicher sein. Das ist gravierend, gehört dieses Element doch zu den zentralen Bestandteilen des freien Betriebssystems. Patches sind bereits im Umlauf.
Nach Heartbleed kommt jetzt der Bash-Bug oder Shellshock-Bug. Dieser wurde von Franzosen Stphane Chazelas entdeckt, der gemäss seiner Homepage auf Job-Suche ist. Vermutlich bald nicht mehr. Er hat festgestellt, dass via dem Kommandozeilen-Prompter GNU Bourne Again Shell (Bash) Code ausgeführt werden kann. Wenn Bash als die Standard-Shell auf einem Linux-System eingerichtet wurde, steht das System theoretisch offen. So könnte via Web-Requests, welche Bash-Scripts enthalten, Code ausgeführt werden. Auch andere Programme, welche Bash für Codeausführung benutzen, können so Linux-Systeme kompromittieren. Auch wird Bash meistens als Standard-Shell auf Apache-Servern eingesetzt. Über 60% der weltweit verfgbaren Webseiten laufen auf Apache-Server. Auf den Servern wird Bash für CGI-Ausführungen benutzt. Obwohl CGI als nicht sehr sicher gilt, wird es nach wie vor eingesetzt. Betroffen sind die Bash-Versionen 1.14 bis zur momentan aktuellen Version 4.3.
Als weitere mögliche Angriffszenarien könnten Angriffe via OpenSSH durchgeführt werden. Auch ein infizierter DHCP-Server könnte in ein Netzwerk platziert und als «böser» Access-Point figurieren, welcher Code auf Linux-Systemen ausführen könnte. Diverse Systeme basieren auf Linux, wie Server, Apple-Geräte, NAS wie auch Drucker, die mit dem CUPS-Protokoll (Common Unix Printing System) kompatibel sind.
Auch Apple-Computer sind vom Bash-Bug btroffen. Wie Ars Technica berichtet, soll Max OS X 10.9.4 (Mavericks) ebenfalls eine verwundbare Bash-Shell einsetzen.
Inzwischen wurden Patches für folgende Systeme zur Verfügung gestellt:
Als weitere mögliche Angriffszenarien könnten Angriffe via OpenSSH durchgeführt werden. Auch ein infizierter DHCP-Server könnte in ein Netzwerk platziert und als «böser» Access-Point figurieren, welcher Code auf Linux-Systemen ausführen könnte. Diverse Systeme basieren auf Linux, wie Server, Apple-Geräte, NAS wie auch Drucker, die mit dem CUPS-Protokoll (Common Unix Printing System) kompatibel sind.
Auch Apple-Computer sind vom Bash-Bug btroffen. Wie Ars Technica berichtet, soll Max OS X 10.9.4 (Mavericks) ebenfalls eine verwundbare Bash-Shell einsetzen.
Inzwischen wurden Patches für folgende Systeme zur Verfügung gestellt:
- Red Hat Enterprise Linux (Version 4 bis 7) und die Fedora Distribution
- CentOS (Version 5 bis 7)
- Ubuntu 10.04 LTS, 12.04 LTS und 14.04 LTS
- Debian
Der Sicherheitsexperte Robert Graham spricht auf CNET von einer 11 auf einer Skala von 0 bis 10. Sicherheitsexperten agieren meist nicht unabhängig, ihr Geschäftsmodell besteht unter anderem darin, den Menschen Angst zu machen. Verharmlosen darf man die Lücke jedoch auch nicht und Administratoren sowie Distributoren sollten die Sache ernst nehmen. Wie lange die Lücke besteht ist nicht klar, jedoch kann man auf Grund der fehlerhaften Bash-Versionen (1.4 bis 4.3) davon ausgehen, dass sie schon länger besteht. Ob sie von Geheimdiensten oder Hacker ausgenutzt wurde ist unklar.