Kritische Sicherheitslücke gefährdet Linux- und Unix-Shell Bash

Eine Sicherheitslücke gefährdet die unter Linux und Unix eingesetzten Shell Bash. Davor hat nun Red Hat gewarnt. Die Schwachstelle gilt als kritisch und kann verwendet werden, um aus der Ferne und ohne Authentifizierung Shell-Befehle auf einem Linux- oder Unix-Server auszuführen. Ein Patch, der die Lücke schließt, liegt bereits vor. Errata Security stuft die Schwachstelle aufgrund der hohen Verbreitung der Bourne-Again Shell (Bash) als genauso gefährlich wie die OpenSSL-Lücke Heartbleed ein.

Der Fehler beruht auf der Art, wie Bash Umgebungsvariablen prüft. Angreifer können mit einer eigens gestalteten Variablen Shell-Befehle ausführen. Auf diese Weise lassen sich noch schwerwiegendere Angriffe vorbereiten.

Für einen Angriff müssen Kriminelle allerdings bereits über einen Zugang zu einem Server verfügen, auf dem Bash läuft. Red Hat zufolge erlauben aber bestimmte Dienste und Applikationen auch ohne Passwortabfrage Zugriff auf Umgebungsvariablen. Somit können Angreifer den Fehler ebenfalls für ihre Zwecke einsetzen könnten.

So besteht die Möglichkeit, einen Web-Server zu hacken, wenn eine Anwendung einen Bash-Shell-Befehl per HTTP oder ein Common Gateway Interface (CGI) so aufruft, dass ein Nutzer eigene Daten einfügen kann. “Die Anfälligkeit betrifft wahrscheinlich viele Anwendungen, die Nutzereingaben prüfen und andere Anwendungen über eine Shell aufrufen”, kommentiert Andy Ellis, Chief Security Officer von Akamai.

Ruft eine Web-Anwendung ein Script mit Root-Rechten auf, besteht ein besonders hohes Risiko. “In diesem Fall würde ein Angreifer sogar mit einem Mord auf einem Server davonkommen”, schreibt ZDNet.com-Blogger Steven J. Vaughan-Nichols. Er rät betroffenen Serverbetreibern, die Eingaben von Web-Anwendungen zu bereinigen und CGI-Skripte zu deaktivieren. Weniger anfällig für eine Attacke per Bash, sind Server, die bereits vor gängigen Angriffen wie Cross-Site-Scripting und SQL Injection geschützt seien. Akamai empfiehlt außerdem die Verwendung einer anderen Shell als Bash.

Nach Ansicht des Sicherheitsanbieters Errata Security ist die Bash-Lücke ähnlich schwerwiegend wie der als Heartbleed bezeichnete Bug in OpenSSL, der Anfang des Jahres für Aufsehen gesorgt hatte. Ähnlich wie OpenSSL, das in zahllosen Softwarepaketen integriert sei, könne eine Shell mit einer Vielzahl von Anwendungen interagieren. “Wir werden niemals in der Lage sein, alle Software zu katalogisieren, die für den Bash-Bug anfällig ist”, schreibt Robert Graham im Errata-Blog.

Darüber hinaus geht Errata davon aus, dass wie auch bei Heartbleed eine unbekannte Zahl von Systemen nicht gepatcht wird. Das gelte wahrscheinlich in erster Linie für Geräte wie internetfähige Kameras. Deren Software basiere oft zu großen Teilen auf webfähigen Bash-Skripten. “Es ist nicht nur weniger wahrscheinlich, dass sie gepatcht werden, sondern auch wahrscheinlich, dass sie von außen angreifbar sind”, so Graham weiter. Außerdem existiere der Fehler in Bash schon über einen längeren Zeitraum. Die Zahl der Geräte, die gepatcht werden müssten, aber wohl nie ein Update erhalten, sei damit viel größer als bei Heartbleed.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Andre Borbe

Andre ist Jahrgang 1983 und unterstützte von September 2013 bis September 2015 die Redaktion von silicon.de als Volontär. Erste Erfahrungen sammelte er als Werkstudent in den Redaktionen von GMX und web.de. Anschließend absolvierte er ein redaktionelles Praktikum bei Weka Media Publishing. Andre hat erfolgreich ein Studium in politischen Wissenschaften an der Hochschule für Politik in München abgeschlossen. Privat interessiert er sich für Sport, Filme und Computerspiele. Aber die größte Leidenschaft ist die Fotografie.

View Comments

  • Zum einen findet sich die Bash längst nicht mehr nur auf Linux oder Unixsystemen, auf denen sie jemand als Applikation installiert hat - zum anderen sind derlei von RedHat beschriebene CGIs oder PHP Scripte etc. bereits als sicherheitskritisch einzustufen die auf keinem Server etwas zu suchen haben und auch schon vor der Bash Lücke Angreifern vielfältige, fast durchweg inakzeptable Vektoren boten. Deshalb widerspechen diese auch den Gudelines für jedwedes auch nur halbwegs professionelles, ordentliches Programmieren.

Recent Posts

Studie: Rund ein Drittel der APIs sind ungeschützt

Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…

11 Stunden ago

Universitätsmedizin Essen setzt für E-Mail-Sicherheit auf NoSpamProxy

Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…

11 Stunden ago

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

2 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

3 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

4 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

4 Tagen ago