In der Standard-Shell der meisten Unix-Systeme, "Bash", ist eine als kritisch eingestufte Sicherheitslücke vom Entwickler Stephane Chazelas entdeckt worden.
Dank ihr ist es Angreifern möglich, beliebigen Schadcode auf einem betroffenen System auszuführen, was insbesondere für Webserver gefährlich sein könnte.
Werbeblocker aktiv?
Vermutlich aufgrund eines Werbeblockers kann an dieser Stelle leider keine Werbung angezeigt werden. Als Blog ist diese Website jedoch darauf angewiesen, um diverse Kosten abdecken zu können. Vielleicht möchtest du Servaholics ja in deinem Werbeblocker als Ausnahme hinzufügen und so unterstützen? 🙂
Das Problem liegt darin, dass sich in Umgebungsvariablen Code einfügen lässt, der dann beim Start einer neuen Shell ungeprüft ausgeführt wird.
Betroffen ist neben den meisten Linux-Distributionen auch Mac OS X. Problematisch ist zusätzlich, dass an allen möglichen Stellen der Systeme die Bash-Shell zum Einsatz kommt bzw. kommen kann, sodass Angreifer viele potentielle Ansatzpunkte haben könnten.
Ob man selbst betroffen ist, kann man durch das Ausführen der folgenden Zeile testen:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
Wird hierbei "vulnerable" ausgegeben, so ist man verwundbar.
Viele Linux-Distributionen haben bereits Patches gegen die Lücke mit der Nummer CVE-2014-6271 veröffentlicht, dem Eintrag zur Nummer CVE-2014-7169 zufolge reichen diese jedoch nicht für eine vollständige Korrektur des Fehlers aus, sodass wohl bald weitere Patches veröffentlicht werden.
Update vom 26. September:
Zwei kurze zusätzliche Notizen:
- Die Lücke wird wohl mittlerweile aktiv von einem Botnet ausgenutzt: futurezone.at.
- Eine Apple-Sprecherin hat für Mac OS X-Systeme ein zeitnahes Update in Aussicht gestellt: heise.de.
Update vom 28. September:
Mittlerweile ist von insgesamt fünf Sicherheitslücken in Bash die Rede: "ShellShock: Wohl insgesamt fünf Sicherheitslücken in Bash entdeckt".