Sysbus
GlosseSecurity

Secunia Statement zur Sicherheitslücke Shellshock

gg

Autor/Redakteur: Kasper Lindgaard, Head of Research bei Secunia/gg

Die neu entdeckte Schwachstelle im Kommandozeilenprogramm Bash, wichtiger Bestandteil von Linux und MacOS X, kann ausgenutzt werden, um angegriffene Systeme effektiv zu übernehmen. Nach Berichten wird die Sicherheitslücke aktuell bereits in begrenztem Maß ausgenutzt.

Die Schwachstelle wird durch einen Fehler beim Analysieren von Shell-Funktionsdefinitionen verursacht, die von Umgebungsvariablen stammen. Sie kann genutzt werden, um zum Beispiel über einen speziell erstellten Wert für eine Umgebungsvariable beliebige Shell-Befehle über bestimmte HTTP-Header in einem CGI-Script auszuführen.

Es existieren verschiedene Angriffsvektoren, da Bash in zahlreichen Unternehmen in unterschiedlichen Systemteilen genutzt wird. Es ist anzunehmen, dass vor allem viele alte Netzwerkgeräte angreifbar sind.

GNU, das Open-Source-Projekt von dem Bash entwickelt wurde, ist ein großes sowie weit verbreitetes Projekt und sollte deshalb über ausreichende Ressourcen verfügen, um das Problem in den Griff zu bekommen. Tatsächlich wurde bereits ein Patch herausgegeben, der sich jedoch als unwirksam herausstellte. Daher gibt es zum jetzigen Zeitpunkt noch keinen offiziellen Patch. Da Shellshock aber eine sehr kritische Sicherheitslücke ist, erwarten wir, dass GNU unverzüglich einen weiteren Patch veröffentlicht. Dass der erste Patch unzureichend war, könnte jedoch auf mangelhafte Prüfungen der Sicherheitsqualität der Patches hinweisen.

Im Vergleich zu Heartbleed, der Sicherheitslücke in OpenSSL Anfang des Jahres, ist Bash noch gefährlicher: Heartbleed hat Hackern “nur” das Auslesen von Informationen ermöglicht. Über Bash können sie Befehle ausführen, um ganze Server und Systeme zu übernehmen.

Bislang ist nur die Spitze des Eisbergs zu erkennen, also die offensichtlichsten Angriffsvektoren. Secunia wird die Lage kontinuierlich beobachten und seine Einschätzung aktualisieren, sobald neue Informationen verfügbar sind.

Unsere erste Einschätzung für Bash haben wir bereits veröffentlicht: http://secunia.com/advisories/61541.

[subscribe2]

Ähnliche Beiträge:

  1. Gegen Bash Bug Shellshock ist Heartbleed nur Spielzeug
  2. McAfee zu Heartbleed: Ändern Sie Ihr Passwort – nicht. Testen Sie erst.
  3. Shellshock: Bin ich betroffen?
  4. Autonomous Patch von Adaptiva soll Administratoren entlasten

Das könnte dir auch gefallen

Secure Net komplettiert den Business Container des Cortado Corporate Servers

gcg

Die dunkle Seite von Smart Lighting: Über die Glühbirne gehackt

gg

Bald schon App-gewirtschaftet?

gcg