Weiterer Patch beseitigt drei Sicherheitslücken in Bash
Red Hat hat ein weiteres Update für die Bourne-Again Shell (Bash) zur Verfügung gestellt. Wichtig ist dies für Nutzer von Linux, Unix und auch Mac OS X. Red Hat hatte bereits früher darauf hingeweisen, dass neben der als Shellshock bekant gewordenen Schwachstelle mit der offiziellen Bezeichnung CVE-2014-6271 weitere Lücken in der Open-Source-Software stecken.
“Kurz nachdem das Problem bekannt geworden ist, hat ein Forscher einen ähnlichen Fehler gefunden, der durch den ersten Fix nicht blockiert wurde”, teilte Red Hat mit. Diese Lücke erhielt die Kennung CVE-2014-7169. “Dieser Fehler ist auch ein Sicherheitsproblem, aber er ist nicht so schlimm wie der andere Fehler.”
Darüber hinaus entdeckte Florian Weimer, Product Security Researcher bei Red Hat, zwei weitere Sicherheitslücken in Bash (CVE-2014-7186 und CVE-2014-7187). Diese sind nach Angaben des Unternehmens weniger gravierend als die beiden anderen. Sie werden durch den neuen Patch ebenfalls behoben. “Die jüngste Bash-Version beseitigt alle CVE-Probleme”, erklärte Red-Hat-Mitarbeiter Huzaifa Sidhpurwala im Gespräch mit ZDNet.com.
Um herauszufinden, ob due verwendete Bash-Version vollständig, teilweise oder gar nicht gepatcht ist, können Anwender mehrere Befehle in Bash ausführen, deren Ergebnis über den Patch-Stand Auskunft gibt. Details dazu hat Red Hat auf seiner Website veröffentlicht.
Die IT-Sicherheitsfirma Aura Information Security hat indes darauf hingewiesen, dass Hacker das Web inzwischen nach Servern mit unsicheren Bash-Versionen scannen. Etwa 10 Prozent der Scans sind laut dem neuseeländischen Unternehmen Versuche, die Schwachstellen auszunutzen. Bis Freitag seien 190 Angriffe registriert worden.
Am einfachsten sei es, Websites anzugreifen, sagte Andy Prow, Chief Executive Officer von Aura Information Security. Exploits für Shellshock seien “recht trivial” und ließen sich mit geringem Fachwissen durchführen. Besonders anfällig seien Websites, die CGI-Skripte verwenden. Die Wahrscheinlichkeit eines erfolgreichen Angriffs auf die Bash-Lücke sei in dem Fall sehr hoch. Neben Websites seien wahrscheinlich aber auch Netzwerkkomponenten, etwa NAS-Boxen, angreifbar.
Das UK CERT warnt in einer aktualisierten Sicherheitsmeldung, dass Shellshock sogar noch deutlich mehr Systeme betreffen könnte als der im April entdeckte Heartbleed-Bug in OpenSSL, der Zugriff auf den flüchtigen Speicher eines Webservers ermöglichte. Ein Grund dafür ist, dass rund 500 Millionen Websites auf Apache-Webservern laufen, die wahrscheinlich Linux einsetzen und somit mit Sicherheit Bash installiert haben, wie der australische Sicherheitsforscher Troy Hunt anmerkt.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de