Shellshock: Der große Bruder von Heartbleed

Seit dem 29. September 2014 ist eine neue Software-Sicherheitslücke öffentlich bekannt, welche sogar dem skandalösen Heartbleed-Bug ohne Probleme den Rang als Schwachstelle des Jahres abläuft.

Das Schadenspotentials der als Shellshock getauften Sicherheitslücke erhielt vom National Institute of Standards and Technology (NIST) die maximale Bewertung von 10. Namensgebend ist dabei ein Software-Fehler in dem Kommandozeileninterpreter Bash, welches auf den meisten Unix-Systemen inklusive fast aller Linux-Distributionen und Mac OS als Standard-Shell genutzt wird. Darüber kommt Bash auch teilweise in proprietären Geräte, wie z.B. Routern und Firewalls, zum Einsatz. Entsprechende Skripte und Exploits wurden ebenfalls bereits veröffentlicht, sodass auch unbedarfte Gelegenheitsangreifer in der Lage sind verwundbare Systeme anzugreifen.

Der von dem Entwickler Stéphane Chazelas entdeckte Fehler erlaubt es mittels Umgebungsvariablen in Bash beliebige Funktionen zu definieren, deren Inhalt verwundbare Bash-Versionen ungeprüft ausführen (CVE-2014-6271). Da der Fehler schon beim Parsen – also dem Einlesen – der Variable auftritt, muss die Funktion auch nicht zwingend aufgerufen werden, damit bösartiger Programmcode ausgeführt wird. Besonders betroffen von der Sicherheitslücke sind Webserver welche mit CGI-Anwendungen (Common Gateway Interface) arbeiten, da hier Aufrufparameter respektive Umgebungsvariablen direkt vom Client kontrolliert werden können. Weiterhin besteht eine Gefahr für SSH-Dienste, deren Nutzer unter Umständen durch die Ausführung von Bash-Skripten ihren eigentlichen beschränkten Rechtekontext erweitern können. Im Rahmen der Netzwerkkonfiguration über das Kommunikationsprotokoll DHCP setzen die DHCP-Clients mittels Bash ebenfalls Variablen, welche vom DHCP-Server kontrolliert werden können ...

Zum vollständigen Artikel

Cookies helfen bei der Bereitstellung unserer Dienste. Durch die Nutzung erklären Sie sich mit der Cookie-Setzung einverstanden. Mehr OK