"Shellshock" Schwere Sicherheitslücke bedroht Macs und Linux-Rechner

Ein Leck in einem Uraltprogramm, das auf vielen Unix- und Linux-Rechnern läuft, bedroht deren Sicherheit. Experten sprechen von Ausmaßen wie beim "Heartbleed"-Bug. Auch Apple-Rechner sind betroffen. Es gibt einen einfachen Selbsttest.

Screenshot eines Linux-Systems: Kriminelle könnten Schadsoftware einschleusen
Chealer

Screenshot eines Linux-Systems: Kriminelle könnten Schadsoftware einschleusen


Computer, auf denen Unix- oder Linux-basierte Betriebssysteme laufen, sind von einer schweren Sicherheitslücke bedroht. Unter anderem warnt das amerikanische National Cyber Awareness System vor dem Fehler mit der offiziellen Bezeichnung CVE-2014-6271, der Millionen Rechner betreffen dürfte. Darunter auch Rechner mit dem Apple-Betriebssystem OS X, das Elemente der Unix-Variante BSD enthält - und auch die sogenannte Bash.

Der französische Entwickler Stéphane Chazelas hat die Sicherheitslücke in der Bourne Again Shell (Bash) entdeckt, die zu den grundlegenden Programmen in Unix- und Linux-Systemen gehört.

Schlimmer als "Heartbleed"?

Nach Angaben der auf Sicherheitstechnik spezialisierten Seite "Openwall" ist es möglich, über die Lücke Schadsoftware in betroffene Rechner einzuschleusen. Die Schwachstelle, die auch als "Shellshock" bezeichnet wird, wird im Netz bereits mit dem "Heartbleed"-Bug verglichen, der vor einigen Monaten für Aufsehen sorgte, weil er scheinbar sichere Internetverbindungen für Angriffe anfällig macht.

Der Sicherheitsexperte Robert Graham schreibt über "Shellshock" in einem Blogbeitrag, es sei genauso gefährlich wie "Heartbleed", die Ausmaße hält er sogar für noch größer. Denn die Bash wird seit mehr als 20 Jahren eingesetzt, und alle bisherigen Versionen sind anfällig. So könnten Angreifer beispielsweise Überwachungskameras kapern, die mit der Bash kommunizieren. Sobald solche Kameras über das Netz gesteuert werden, sind sie laut Graham ein leichtes Ziel. Denn im Gegensatz zu vielen Webservern würden solche Geräte meist gar nicht mit Updates versorgt.

Viele Systeme könnten ohne Update auskommen

Ob ein Rechner betroffen ist, lässt sich mit einem Kommandozeilenprogramm testen. Die folgende Zeile führt eine Funktion aus, die einen bestimmten Text nur dann auf dem Bildschirm anzeigt, wenn der "Shellshock"-Fehler vorliegt:

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Wenn nach Eingabe dieser Zeile "vulnerable" auf dem Bildschirm angezeigt wird, dann ist der Rechner von der Sicherheitslücke betroffen. Wird die Warnmeldung "bash: error importing function definition for x" ausgegeben, dann ist die Lücke bereits gestopft.

Mittlerweile haben einige Linux-Anbieter wie Red Hat, Fedora und Ubuntu reagiert und Updates für die angreifbaren Bash-Versionen zur Verfügung gestellt. Apple aber hat bisher noch kein Update für seine Bash-Version herausgegeben.

Viele Rechner könnten auf einem alten Stand bleiben

Die Bash ist ein sogenanntes Kommandozeilenprogramm, das noch aus der Zeit stammt, als man Computer über Textbefehle steuerte und nicht per Maus. Bis heute ist sie bei Linux-Anwendern beliebt, weil sich mit ihr viele Alltagsaufgaben leichter und schneller abwickeln lassen als mit der Maus. Vor allem aber ist die Bash scriptfähig, das heißt, man kann sie mit Programmen füttern, die dann bestimmte Abläufe automatisiert abarbeiten.

Genau da liegt laut dem Experten Graham das Problem. "Wir wissen, dass es gefährlich ist, mit der Shell zu interagieren, aber wir schreiben Code, der es dennoch macht", so Graham. Viele Programme würden mit der Bash kommunizieren. "Daher werden wir niemals alle Programme auf dem Markt auflisten können, die anfällig für den Bash-Bug sind."

Graham geht davon aus, dass viele Rechner auf einem alten Stand bleiben werden. Das sehe man an den Folgen des "Heartbleed"-Bugs. Auch Monate nach dem Vorfall seien immer noch Hunderttausende Server über die bereits im April gemeldete Lücke angreifbar.

jbr



Forum - Diskutieren Sie über diesen Artikel
insgesamt 101 Beiträge
Alle Kommentare öffnen
Seite 1
count_zer0 25.09.2014
1. Halb so wild...
bash: warning: x: ignoring function definition attempt bash: error importing function definition for `x' Wenigstens kommen auf Linux die Patches sehr zeitnah. Hatte das Update schon auf dem Rechner, bevor heise & Co den Bug ueberhaupt gemeldet hatten.
sibekar 25.09.2014
2. Fehler im Script
env x='() { :;}; echo vulnerable' bash -c "echo this is a test" vulnerable So klappt es auch mit dem Nachbarn ;-)... oder kurz gesagt, einfach das Dollarzeichen ignorieren *grins* - was gescheiter "Linux" Nutzer ja von Natur aus macht. Und ein bisschen viel Lärm um nüscht. Man bereits Zugang zur Shell, sodass man Umgebungsvariablen setzen kann die wiederum in anderen Skripten zur Verwendung kommen. Damit lassen sich dann beliebige Befehle in Form von Bash-Functions ausführen, mit den Rechten des Benutzers der die Bash-Function aufruft. Kurz ... ohne Adminrechte - keine Party
count_zer0 25.09.2014
3.
Zitat von sibekarenv x='() { :;}; echo vulnerable' bash -c "echo this is a test" vulnerable So klappt es auch mit dem Nachbarn ;-)... oder kurz gesagt, einfach das Dollarzeichen ignorieren *grins* - was gescheiter "Linux" Nutzer ja von Natur aus macht. Und ein bisschen viel Lärm um nüscht. Man bereits Zugang zur Shell, sodass man Umgebungsvariablen setzen kann die wiederum in anderen Skripten zur Verwendung kommen. Damit lassen sich dann beliebige Befehle in Form von Bash-Functions ausführen, mit den Rechten des Benutzers der die Bash-Function aufruft. Kurz ... ohne Adminrechte - keine Party
Das ist kein Fehler. Das Dollarzeichen kennzeichnet in solcherlei Codeschnipseln normalerweise den Eingabeprompt.
bauerbob 25.09.2014
4. Panikmache
Der bug kann nur ganz selten remote ausgenutzt werden.
hansgustor 25.09.2014
5. Details
Ist nicht so schlimm wie Heartbleed, da man Zugriffsberechtigungen auf den Rechner besucht. Privatanwender müssen sich wenig Sorgen darüber machen: http://security.stackexchange.com/a/68125/46416
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2014
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.