Red Hat warnt vor Sicherheitslücke in Linux- und Unix-Shell Bash
Red Hat hat vor einer Sicherheitslücke in Bash gewarnt. Der als kritisch eingestufte Fehler in der unter Linux und Unix verwendeten Shell erlaubt es unter Umständen, Shell-Befehle aus der Ferne und ohne Authentifizierung auf einem Linux- oder Unix-Server auszuführen. Ein Patch ist bereits verfügbar. Die Sicherheitsexperten von Errata Security vergleichen die Schwachstelle aufgrund der hohen Verbreitung der Bourne-Again Shell (Bash) mit der OpenSSL-Lücke Heartbleed.
Der Fehler steckt in der Prüfung von Umgebungsvariablen durch Bash. Mit speziell gestalteten Variablen könnte ein Angreifer Shell-Befehle ausführen und damit die Grundlagen schaffen, um auf dem Server weiteichender Angriffe durchzuführen.
Allerdings muss es bereits Zugang zu einem Server haben, auf dem Bash läuft. Laut Red Hat erlauben bestimmte Dienste und Applikationen Angreifern jedoch auch ohne Passwortabfrage Zugriff auf Umgebungsvariablen, wodurch sie den Fehler für ausnutzen könnten.
Ein Web-Server kann beispielsweise gehackt werden, wenn eine Anwendung einen Bash-Shell-Befehl per HTTP oder ein Common Gateway Interface (CGI) so aufruft, dass ein Nutzer eigene Daten einfügen kann. “Die Schachstelle betrifft wahrscheinlich viele Anwendungen, die Nutzereingaben prüfen und andere Anwendungen über eine Shell aufrufen”, meint Andy Ellis, Chief Security Officer von Akamai. Das Unternehmen rät zudem zum Einsatz einer anderen Shell als Bash.
Ein besonders hohes Risiko besteht natürlich immer dann, wenn eine Web-Anwendung ein Script mit Root-Rechten aufruft. Server-Betreibern sollten daher die Eingaben von Web-Anwendungen bereinigen und CGI-Skripte deaktivieren. Bei Servern, die bereits vor gängigen Angriffen wie Cross-Site-Scripting und SQL Injection geschützt sind, ist auch die Gefahr einer Attacke per Bash geringer.
Nach Ansicht des Sicherheitsanbieters Errata Security ist die Bash-Lücke ähnlich schwerwiegend wie der als Heartbleed bezeichnete Bug in OpenSSL. Ähnlich wie OpenSSL, das in zahllosen Softwarepaketen integriert sei, könne eine Shell mit einer Vielzahl von Anwendungen interagieren. “Wir werden niemals in der Lage sein, alle Software zu katalogisieren, die für den Bash-Bug anfällig ist”, schreibt Robert Graham im Errata-Blog.
Er geht zudem davon aus, dass wie auch bei Heartbleed eine unbekannte Zahl von Systemen nicht gepatcht wird. Das gelte wahrscheinlich in erster Linie für Geräte wie internetfähige Kameras. Deren Software basiere oft zu großen Teilen auf webfähigen Bash-Skripten. “Es ist nicht nur weniger wahrscheinlich, dass sie gepatcht werden, sondern auch wahrscheinlich, dass sie von außen angreifbar sind”, so Graham. Außerdem bstehe der Fehler in Bash schon länger. Die Zahl der Geräte, die gepatcht werden müssten, aber wohl nie ein Update erhalten, sei damit viel größer als bei Heartbleed.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de