Das Linux x32 Application Binary Interface hat offenbar ein Sicherheitsleck.
Eine Sicherheitslücke gefährdet die unter Linux und Unix eingesetzten Shell Bash. Davor hat nun Red Hat gewarnt. Die Schwachstelle gilt als kritisch und kann verwendet werden, um aus der Ferne und ohne Authentifizierung Shell-Befehle auf einem Linux- oder Unix-Server auszuführen. Ein Patch, der die Lücke schließt, liegt bereits vor. Errata Security stuft die Schwachstelle aufgrund der hohen Verbreitung der Bourne-Again Shell (Bash) als genauso gefährlich wie die OpenSSL-Lücke Heartbleed ein.
Der Fehler beruht auf der Art, wie Bash Umgebungsvariablen prüft. Angreifer können mit einer eigens gestalteten Variablen Shell-Befehle ausführen. Auf diese Weise lassen sich noch schwerwiegendere Angriffe vorbereiten.
Für einen Angriff müssen Kriminelle allerdings bereits über einen Zugang zu einem Server verfügen, auf dem Bash läuft. Red Hat zufolge erlauben aber bestimmte Dienste und Applikationen auch ohne Passwortabfrage Zugriff auf Umgebungsvariablen. Somit können Angreifer den Fehler ebenfalls für ihre Zwecke einsetzen könnten.
So besteht die Möglichkeit, einen Web-Server zu hacken, wenn eine Anwendung einen Bash-Shell-Befehl per HTTP oder ein Common Gateway Interface (CGI) so aufruft, dass ein Nutzer eigene Daten einfügen kann. “Die Anfälligkeit betrifft wahrscheinlich viele Anwendungen, die Nutzereingaben prüfen und andere Anwendungen über eine Shell aufrufen”, kommentiert Andy Ellis, Chief Security Officer von Akamai.
Ruft eine Web-Anwendung ein Script mit Root-Rechten auf, besteht ein besonders hohes Risiko. “In diesem Fall würde ein Angreifer sogar mit einem Mord auf einem Server davonkommen”, schreibt ZDNet.com-Blogger Steven J. Vaughan-Nichols. Er rät betroffenen Serverbetreibern, die Eingaben von Web-Anwendungen zu bereinigen und CGI-Skripte zu deaktivieren. Weniger anfällig für eine Attacke per Bash, sind Server, die bereits vor gängigen Angriffen wie Cross-Site-Scripting und SQL Injection geschützt seien. Akamai empfiehlt außerdem die Verwendung einer anderen Shell als Bash.
Nach Ansicht des Sicherheitsanbieters Errata Security ist die Bash-Lücke ähnlich schwerwiegend wie der als Heartbleed bezeichnete Bug in OpenSSL, der Anfang des Jahres für Aufsehen gesorgt hatte. Ähnlich wie OpenSSL, das in zahllosen Softwarepaketen integriert sei, könne eine Shell mit einer Vielzahl von Anwendungen interagieren. “Wir werden niemals in der Lage sein, alle Software zu katalogisieren, die für den Bash-Bug anfällig ist”, schreibt Robert Graham im Errata-Blog.
Darüber hinaus geht Errata davon aus, dass wie auch bei Heartbleed eine unbekannte Zahl von Systemen nicht gepatcht wird. Das gelte wahrscheinlich in erster Linie für Geräte wie internetfähige Kameras. Deren Software basiere oft zu großen Teilen auf webfähigen Bash-Skripten. “Es ist nicht nur weniger wahrscheinlich, dass sie gepatcht werden, sondern auch wahrscheinlich, dass sie von außen angreifbar sind”, so Graham weiter. Außerdem existiere der Fehler in Bash schon über einen längeren Zeitraum. Die Zahl der Geräte, die gepatcht werden müssten, aber wohl nie ein Update erhalten, sei damit viel größer als bei Heartbleed.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Assistenzsysteme unterstützen Monteure bei der Arbeit. Zu oft zahlt man jedoch mit den eigenen Daten…
Hersteller werden stärker in die Pflicht genommen, den gesamten Lebenszyklus ihrer Produkte in den Blick…
LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…
Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…
Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…
Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…
View Comments
Zum einen findet sich die Bash längst nicht mehr nur auf Linux oder Unixsystemen, auf denen sie jemand als Applikation installiert hat - zum anderen sind derlei von RedHat beschriebene CGIs oder PHP Scripte etc. bereits als sicherheitskritisch einzustufen die auf keinem Server etwas zu suchen haben und auch schon vor der Bash Lücke Angreifern vielfältige, fast durchweg inakzeptable Vektoren boten. Deshalb widerspechen diese auch den Gudelines für jedwedes auch nur halbwegs professionelles, ordentliches Programmieren.