Kritische Sicherheitslücke gefährdet Linux- und Unix-Shell Bash

Das Linux x32 Application Binary Interface hat offenbar ein Sicherheitsleck.

Die Schwachstelle kann genutzt werden, um Shell-Befehle aus der Ferne auszuführen. Ein Patch für die Sicherheitslücke steht bereits zur Verfügung. Den Bug stuft Errata Security für genauso schwerwiegend wie die Heartbleed genannte Lücke in OpenSSL.

Eine Sicherheitslücke gefährdet die unter Linux und Unix eingesetzten Shell Bash. Davor hat nun Red Hat gewarnt. Die Schwachstelle gilt als kritisch und kann verwendet werden, um aus der Ferne und ohne Authentifizierung Shell-Befehle auf einem Linux- oder Unix-Server auszuführen. Ein Patch, der die Lücke schließt, liegt bereits vor. Errata Security stuft die Schwachstelle aufgrund der hohen Verbreitung der Bourne-Again Shell (Bash) als genauso gefährlich wie die OpenSSL-Lücke Heartbleed ein.

Das Linux x32 Application Binary Interface hat offenbar ein Sicherheitsleck.

Der Fehler beruht auf der Art, wie Bash Umgebungsvariablen prüft. Angreifer können mit einer eigens gestalteten Variablen Shell-Befehle ausführen. Auf diese Weise lassen sich noch schwerwiegendere Angriffe vorbereiten.

Für einen Angriff müssen Kriminelle allerdings bereits über einen Zugang zu einem Server verfügen, auf dem Bash läuft. Red Hat zufolge erlauben aber bestimmte Dienste und Applikationen auch ohne Passwortabfrage Zugriff auf Umgebungsvariablen. Somit können Angreifer den Fehler ebenfalls für ihre Zwecke einsetzen könnten.

So besteht die Möglichkeit, einen Web-Server zu hacken, wenn eine Anwendung einen Bash-Shell-Befehl per HTTP oder ein Common Gateway Interface (CGI) so aufruft, dass ein Nutzer eigene Daten einfügen kann. “Die Anfälligkeit betrifft wahrscheinlich viele Anwendungen, die Nutzereingaben prüfen und andere Anwendungen über eine Shell aufrufen”, kommentiert Andy Ellis, Chief Security Officer von Akamai.

Ruft eine Web-Anwendung ein Script mit Root-Rechten auf, besteht ein besonders hohes Risiko. “In diesem Fall würde ein Angreifer sogar mit einem Mord auf einem Server davonkommen”, schreibt ZDNet.com-Blogger Steven J. Vaughan-Nichols. Er rät betroffenen Serverbetreibern, die Eingaben von Web-Anwendungen zu bereinigen und CGI-Skripte zu deaktivieren. Weniger anfällig für eine Attacke per Bash, sind Server, die bereits vor gängigen Angriffen wie Cross-Site-Scripting und SQL Injection geschützt seien. Akamai empfiehlt außerdem die Verwendung einer anderen Shell als Bash.

Nach Ansicht des Sicherheitsanbieters Errata Security ist die Bash-Lücke ähnlich schwerwiegend wie der als Heartbleed bezeichnete Bug in OpenSSL, der Anfang des Jahres für Aufsehen gesorgt hatte. Ähnlich wie OpenSSL, das in zahllosen Softwarepaketen integriert sei, könne eine Shell mit einer Vielzahl von Anwendungen interagieren. “Wir werden niemals in der Lage sein, alle Software zu katalogisieren, die für den Bash-Bug anfällig ist”, schreibt Robert Graham im Errata-Blog.

Darüber hinaus geht Errata davon aus, dass wie auch bei Heartbleed eine unbekannte Zahl von Systemen nicht gepatcht wird. Das gelte wahrscheinlich in erster Linie für Geräte wie internetfähige Kameras. Deren Software basiere oft zu großen Teilen auf webfähigen Bash-Skripten. “Es ist nicht nur weniger wahrscheinlich, dass sie gepatcht werden, sondern auch wahrscheinlich, dass sie von außen angreifbar sind”, so Graham weiter. Außerdem existiere der Fehler in Bash schon über einen längeren Zeitraum. Die Zahl der Geräte, die gepatcht werden müssten, aber wohl nie ein Update erhalten, sei damit viel größer als bei Heartbleed.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de