Ernsthafte Sicherheitslücke in Bash betrifft Linux, UNIX und Mac OS X

Eine kritische Sicherheitslücke wurde in der Kommandozeilen-Shell Bourne again shell gefunden, besser bekannt als Bash, die in den meisten Linux-, UNIX- und Apple Mac OS X-Distributionen verwendet wird. Administratoren sind aufgerufen, umgehend die entsprechenden Patches auf ihren Systemen zu installieren.

Die Sicherheitslücke, die auf den Namen Shellshock oder Bashdoor getauft wurde, ermöglicht es einem Cyberkriminellen, entfernt schädlichen ausführbaren Code in Umgebungsvariable zu schreiben, deren Wert beim Aufruf von Bash ausgeführt wird.

„Es ist supereinfach und alle Bash-Versionen enthalten diese Sicherheitslücke”, sagte Josh Bressers, Manager für Produktsicherheit bei Red Hat. „Die Sicherheitslücke ist überaus ernsthaft, aber es müssen sehr spezielle Bedingungen erfüllt werden, damit ein entfernter Nutzer den Wert dieser Umgebungsvariablen einsetzen kann. Zum Glück trifft das nur selten zu.“

Bash ist üblicherweise in den Betriebssystemen Linux und UNIX vertreten, und es drängt sich der Vergleich mit der Heartbleed-Sicherheitslücke in OpenSSL auf. Der Fehler in Bash wurde von Stephane Chazelas entdeckt, Unix- und Linux-Netzwerk-Administrator und IT-Manager des britischen Unternehmens SeeByte Ltd.

Die Hersteller populärer Linux-Distributionen, Red Hat eingeschlossen, haben sofort gehandelt, nachdem sie von der Entdeckung Chazelas‘erfahren hatten und sie in die Sicherheits-Mailingliste OSS aufgenommen worden war, und entsprechende Patches veröffentlicht.

„Viele Funktionen rufen Bash auf und ich könnte wetten, dass es in den meisten Systemen Dinge gibt, die Bash aufrufen und Sie noch nicht einmal wissen, dass sie das tun“, erklärte Bressers von Red Hat. „Wir haben eine Menge unterschiedliche Produkte analysiert, die Red Hat bereitstellt, und die unserer Meinung nach ein großes Risiko darstellen. Das ist eine dieser Situationen, in der es eine Unmenge von Varianten gibt, mit denen man umgehen muss. Die Sicherheitslücke Heartbleed beispielsweise war leicht zu verstehen und alle waren auf die gleiche Weise betroffen.“

„Hier gibt es nicht zwei Systeme, die auf die gleiche Weise angreifbar sind. Aktualisieren Sie Bash und murksen Sie nicht herum“, sagte Bressers. „Selbst wenn Sie meinen, alles sei in Ordnung, ist es wahrscheinlich nicht so.“

Bressers erklärte, dass die Sicherheitslücke es einem Cyberkriminellen ermöglicht, Umgebungsvariable zu erstellen, die schädlichen Code enthalten, bevor das System die Bash-Shell aufruft.

„Diese Variablen können Code enthalten, der gestartet wird, wenn die Shell aufgerufen wird“, schreibt Bressers in einem Blogpost. „Die Namen dieser erstellten Variablen spielen keine Rolle, wichtig ist nur der Inhalt.“

Einer der kritischsten Fälle, in denen die Sicherheitslücke ausgenutzt werden könnte, ist beispielsweise bei der Nutzung der Skripte mod_cgi, mod_cgid auf einem Apache-Server, wenn eins dieser Skripte in Bash geschrieben ist. Wie Bressers schreibt, kann die Sicherheitslücke auch zur Umgehung von ForceCommand in sshd-Konfigurationen ausgenutzt werden. ForceCommand ist für die Einschränkung der Möglichkeiten des entfernten Startens von Code vorgesehen, doch die Ausnutzung dieser Sicherheitslücke umgeht den Schutz. Einige Varianten von Git unter SSH könnten hier betroffen sein.

Red Hat hat einen Link zu einer Diagnose-Prozedur bereitgestellt, mit der User überprüfen können, ob eine angreifbare Bash-Version auf ihrem System vorhanden ist.

Das Patch stellt laut Bressers sicher, dass ausführbarer Code nach Beendigung einer Bash-Funktion nicht erlaubt wird.

„Es ist ein Paket und ein Neustart des Systems oder irgendwelcher Services ist nicht erforderlich“, kommentierte Bressers das Patch. „Wenn sich die Forscher erst in das Problem einarbeiten, gibt es immer die Befürchtung, dass sie noch irgendetwas Neues finden. Ich hoffe, dass sie nichts finden, ansonsten müssen wir wieder von vorn anfangen.“

Quelle:        Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.