Ein neuer Bug in der Bash-Shell ist aufgetaucht und möglicherweise noch gravierender als das Heartbleed-Problem mit dem Bug in OpenSSL. Das kommt Euch alles wie Chinesisch vor? Zunächst sollten wir über die betroffenen Betriebssysteme sprechen.
Shellshock: Der Bug in Bash ist weitreichend
Bash (Bourne Again SHell) ist in diversen Geschmacksrichtungen von Linux und UNIX-verwandten Betriebssystemen die sogenannte Standard-Shell. Das 1987 geschriebene Programm dient der Ausführung von Befehlen, Funktionen und Skripten, die so ziemlich alles mit einem System anstellen können. Auf dem Mac ist die Bash-Shell auch unter Mac OS X standardmäßig mit dabei und wird unter anderem über das Terminal aufgerufen.
Meine Empfehlungen für dich
Die 4-Stunden-Woche - Mehr Zeit, mehr Geld, mehr Leben | Der Welt-Besteller für eine geniale Work-Life-Balance, ortsunabhängiges Arbeiten und ein fantastisches Leben.
Bestes iPhone Leder-Case - Eleganter kannst du dein iPhone nicht gegen Schmutz und Kratzer schützen. Das 2in1 Leder-Case von Solo Pelle ist abnehmbar, kommt mit Kartenfächern daher und sieht einfach nur mega aus.
Mein liebster Arbeitsstuhl - Ohne den Swopper Air hätte ich sicherlich mehr Rückenschmerzen. Er fördert trotz Sitzposition eine bewegliche Wirbelsäule und hält mich beim Arbeiten aktiv. Das ist ein riesiger Vorteil zum stink normalen Bürostuhl.
Bash ist somit ein Bestandteil vieler Systeme, die wir heutzutage benutzen. Dieser kleine Part ist äußerst mächtig und kann mit dem Shellshock-Bug zum Kompromittieren ganzer Unternehmen genutzt werden. Security Researcher sagen bereits jetzt: Heartbleed war dagegen unproblematischer. Die US-Datenbank für Sicherheitslücken vergibt die Wertung 10 von 10 für die Bedrohung durch Shellshock.
Alternative Shells wie zsh sind nicht betroffen
Es geht bei dem Bug um die Verarbeitung von Umgebungsvariablen, die vom Angreifer manipuliert werden können. Daraufhin könnte der Hacker seine gewünschten Befehle oder Skripte und Programme auf dem betroffenen Webserver, Rechner, Router oder Kühlschrank ausführen. Kurz gesagt: Mit Shellshock lassen sich überraschend viele vermeintlich sichere Systeme "ownen".
Gerade im Bezug auf Webserver ist das ziemlich gefährlich, denn diese könnten als Distributionsstellen für weitere Malware an Besucher mit anderen Sicherheitslücken fungieren. Nicht umsonst hat Amazon die gigantischen Web Services gerade komplett neu gestartet und Maßnahmen ergriffen. Diese Lücke scheint ziemlich ernst zu sein.
Von "Shellshock" betroffene Systeme:
- zahlreiche Linux-Server, die am Netz hängen (diverse Gründe)
- darunter insbesondere Webserver mit Apache & CGI-Apps
- Linux-Desktops und Notebooks
- Android Smartphones mit Cyanogenmod-ROM
- Smart TVs
- Router
- und viele andere Smart Home / Embedded Geräte mit Linux
- Mac OS X Rechner mit 10.9.4 oder früher
Was kann ich dagegen tun?
Apple-User sind größtenteils abgedeckt. Apple hat laut dem Guardian die Lücke in 10.9.5 geschlossen. Bis dahin ist Mac OS X anfällig für Shellshock, aber das Risiko lässt sich offenbar mit dem Ausschalten der (standardmäßig nicht aktivierten, ihr wisst hoffentlich ob ihr die Option nutzt) SSH-Logins in den Sharingoptionen minimieren. Oder es wird einfach ein Update auf die neueste Betriebssystemversion durchgeführt. Apple-Nutzer können nach dieser Anleitung hier testen, ob sie von Shellshock betroffen sind.
Linux-User sollten möglichst sämtliche Updates installieren, die von ihren Distributionen angeboten werden. Redhat, Ubuntu, Debian, CentOS und andere Anbieter haben sich bereits hierzu betätigt, oder werden in Kürze ein Update herausschieben.
Dasselbe gilt für Router, Smart Home Geräte und andere betroffene Systeme. Für Systemadministratoren sind bereits reichlich Ressourcen beisammen, der Konsument muss sich noch etwas gedulden. Bitte fallt nicht auf irgendwelche zwielichtigen Tools oder Maschen rein, es gibt genügend Fake-"Abhilfen" für Shellshock im Netz, die mit Rootkits versehen sind.
Die Implikationen des Bugs sind noch nicht absehbar, ähnlich wie bei Heartbleed war diese Sicherheitslücke sicher schon länger unterwegs und wurde von Eingeweihten bereits häufiger ausgenutzt, ohne dass ein Administrator oder User etwas bemerkte.
- Außerdem lesenswert: Apple wusste schon länger von schwerer iCloud-Lücke und blieb tatenlos
Noch kein Fan? Folge WEBLOGIT auf Facebook oder Twitter, um nichts zu verpassen! ↵