Eine Sicherheitslücke gefährdet die unter Linux und Unix eingesetzten Shell Bash. Davor hat nun Red Hat gewarnt. Die Schwachstelle gilt als kritisch und kann verwendet werden, um aus der Ferne und ohne Authentifizierung Shell-Befehle auf einem Linux- oder Unix-Server auszuführen. Ein Patch, der die Lücke schließt, liegt bereits vor. Errata Security stuft die Schwachstelle aufgrund der hohen Verbreitung der Bourne-Again Shell (Bash) als genauso gefährlich wie die OpenSSL-Lücke Heartbleed ein.
Der Fehler beruht auf der Art, wie Bash Umgebungsvariablen prüft. Angreifer können mit einer eigens gestalteten Variablen Shell-Befehle ausführen. Auf diese Weise lassen sich noch schwerwiegendere Angriffe vorbereiten.
Für einen Angriff müssen Kriminelle allerdings bereits über einen Zugang zu einem Server verfügen, auf dem Bash läuft. Red Hat zufolge erlauben aber bestimmte Dienste und Applikationen auch ohne Passwortabfrage Zugriff auf Umgebungsvariablen. Somit können Angreifer den Fehler ebenfalls für ihre Zwecke einsetzen könnten.
So besteht die Möglichkeit, einen Web-Server zu hacken, wenn eine Anwendung einen Bash-Shell-Befehl per HTTP oder ein Common Gateway Interface (CGI) so aufruft, dass ein Nutzer eigene Daten einfügen kann. “Die Anfälligkeit betrifft wahrscheinlich viele Anwendungen, die Nutzereingaben prüfen und andere Anwendungen über eine Shell aufrufen”, kommentiert Andy Ellis, Chief Security Officer von Akamai.
Ruft eine Web-Anwendung ein Script mit Root-Rechten auf, besteht ein besonders hohes Risiko. “In diesem Fall würde ein Angreifer sogar mit einem Mord auf einem Server davonkommen”, schreibt ZDNet.com-Blogger Steven J. Vaughan-Nichols. Er rät betroffenen Serverbetreibern, die Eingaben von Web-Anwendungen zu bereinigen und CGI-Skripte zu deaktivieren. Weniger anfällig für eine Attacke per Bash, sind Server, die bereits vor gängigen Angriffen wie Cross-Site-Scripting und SQL Injection geschützt seien. Akamai empfiehlt außerdem die Verwendung einer anderen Shell als Bash.
Nach Ansicht des Sicherheitsanbieters Errata Security ist die Bash-Lücke ähnlich schwerwiegend wie der als Heartbleed bezeichnete Bug in OpenSSL, der Anfang des Jahres für Aufsehen gesorgt hatte. Ähnlich wie OpenSSL, das in zahllosen Softwarepaketen integriert sei, könne eine Shell mit einer Vielzahl von Anwendungen interagieren. “Wir werden niemals in der Lage sein, alle Software zu katalogisieren, die für den Bash-Bug anfällig ist”, schreibt Robert Graham im Errata-Blog.
Darüber hinaus geht Errata davon aus, dass wie auch bei Heartbleed eine unbekannte Zahl von Systemen nicht gepatcht wird. Das gelte wahrscheinlich in erster Linie für Geräte wie internetfähige Kameras. Deren Software basiere oft zu großen Teilen auf webfähigen Bash-Skripten. “Es ist nicht nur weniger wahrscheinlich, dass sie gepatcht werden, sondern auch wahrscheinlich, dass sie von außen angreifbar sind”, so Graham weiter. Außerdem existiere der Fehler in Bash schon über einen längeren Zeitraum. Die Zahl der Geräte, die gepatcht werden müssten, aber wohl nie ein Update erhalten, sei damit viel größer als bei Heartbleed.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Eine aktuelle Studie von Onapsis zeigt: 9 von 10 Ransomware-Angriffe betrafen ERP-Systeme.
Angreifer nutzen zunehmend raffinierte Techniken, um ihre Angriffe zu verschleiern und adaptive Angriffsmuster einzusetzen, warnt…
ESRS, CSRD, EnEfG: Wer die gesetzlichen Nachhaltigkeits-Regularien erfüllen will, braucht Transparenz über den Energieverbrauch und…
Bei langen und komplexen Dokumenten wie Verträgen, Forschungsarbeiten und Artikeln unterstützt generative KI dabei, in…
T-Systems entwickelt eine Software-Lösung zum Trainieren von Pflegekräften für das Universitätsklinikum Bonn (UKB).
Laut Erhebung der Uniklinik Freiburg liefert bestes KI-Modell zu 93,1 Prozent verwendbare Dokumente.
View Comments
Zum einen findet sich die Bash längst nicht mehr nur auf Linux oder Unixsystemen, auf denen sie jemand als Applikation installiert hat - zum anderen sind derlei von RedHat beschriebene CGIs oder PHP Scripte etc. bereits als sicherheitskritisch einzustufen die auf keinem Server etwas zu suchen haben und auch schon vor der Bash Lücke Angreifern vielfältige, fast durchweg inakzeptable Vektoren boten. Deshalb widerspechen diese auch den Gudelines für jedwedes auch nur halbwegs professionelles, ordentliches Programmieren.