«ShellShock»: Gravierende Sicherheitslücke in der bash gefunden

In dieser Woche ist mit «ShellShock» eine gravierende Sicherheitslücke bekannt geworden, die fast alle UNIX-basierten Systemen betrifft. Auch Apples OS X ist betroffen — trotzdem sind nicht alle Macs verwundbar. Ein Update ist beim Mac-Hersteller bereits in Arbeit.

Stefan Rechsteiner

Entwickler und Sicherheits-Experte Stephane Chazelas hat in dieser Woche in der UNIX-Shell «bash» eine Sicherheitslücke gefunden (CVE-2014-6271), die zum Ausführen von Schadcode aus der Ferne genutzt werden kann. Als De-facto-Standard ist die «bash» auf den meisten UNIX-basierten Systemen im Einsatz — dazu gehören neben fast allen Linux-Distributionen auch das Mac-Betriebssystem «OS X».

Sicherheits-Experten nennen die Sicherheitslücke, die mittlerweile den Namen «ShellShock» bekommen hat , wahrscheinlich gravierender als die im April bekannt gewordene grosse SSL-Sicherheitslücke «Heartbleed». Dies nicht umbedingt weil mehr Systeme betroffen sein könnten, sondern weil die Lücke an sich schwerwiegender ist. Angreifer können durch die Sicherheitslücke schnell das ganze System übernehmen.

Chazelas fand heraus, dass schädliche Anweisungen in die bash eingeschleust werden können. Beim Start der Shell wird dann dieser der Code ungeprüft ausgeführt.

Vor allem Webserver sind betroffen, da diese die bash unter Umständen zur Ausführung von CGI-Skripten nutzen. Die bash wird aber in UNIX-Systemen auch bei diversen anderen Prozessen genutzt. Beispielsweise beim Einsatz von OpenSSH, bei welcher durch die Sicherheitslücke womöglich die Sicherheitsmerkmale umgangen werden können. Auch verschiedene Programmiersprachen führen Systembefehle über die bash aus.

Die Entwickler von Red Hat, einer Linux-Distribution, schreiben auch über mögliche Angriffsmöglichkeiten über DHCP-Klienten und Systemdienste, die als root laufen.

Ausgenutzt werden kann die Lücke, in dem ein bash-Befehl einer Umgebungsvariable übergeben wird, in dieser können anschliessend Befehle hineingeschrieben werden.

Angeblich gibt es bereits ein DDOS-Botnetz, welches die Sicherheitslücke ausnutzt.

Ist mein System betroffen?

Mit dem folgenden Befehl findet man heraus, ob das eigene System anfällig auf «ShellShock» ist oder nicht:

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Wird nach dem Ausführen des obigen Befehls im Terminal «vulnerable» und «this is a test» ausgegeben, ist das System auf die Sicherheitslücke anfällig. Ein nicht anfälliges System hingegen gibt mindestens zwei Fehlermeldungen und «this is a test» aus.

Bald Update von Apple

Die Linux-Distributoren Debian, Ubuntu und Red Hat haben kurze Zeit nach dem (koordinierten) Bekanntwerden Patches für die Lücke bzw. eine neue bash-Version veröffentlicht. Doch auch die Aktualisierung behob die Lücke nicht komplett und schuf eine neue Sicherheitslücke — weitere Patches sind in Arbeit.

Apple hat für das ebenfalls betroffene OS X bisher kein Sicherheits-Update veröffentlicht. Demnach sind viele OS-X-System nach wie vor gegen die (nun zwei (CVE-2014-7169)) Sicherheitslücken verwundbar.

Test ob System verwundbar ist

Gegenüber iMore hat das Unternehmen verlauten lassen, dass «die grosse Mehrheit» der OS-X-Nutzer nicht von der Sicherheitslücke betroffen sei. Dies, da bei OS X standardmässig keine aus der Ferne ausführbaren Dienste aktiviert seien. Einzig wenn «erweiterte UNIX-Dienste» konfiguriert würden, könnte das System nicht mehr sicher sein. Man arbeite aber an einem Update, so Apple. Wann dieses Sicherheits-Update ausgerollt wird, darüber informierte der Mac-Hersteller nicht weiter.

Was ist die «bash»?

Eine Erläuterung, um was es sich bei der bash handelt, findet sich im macprime.ch Lexikon: «Einführung in das Terminal»:

Das Programm «Terminal» ist eigentlich nur die Anzeige des Shell-Programms. Die Shell ist das eigentliche Programm, welches die Befehle ausführt. Das Terminal nimmt die Befehle vom Benutzer entgegen und übergibt sie der Shell, wovon das Terminal danach wieder eine Ausgabe erhält und anzeigt. Seit Mac OS X 10.3 Panther verwendet Apple beim Mac-Betriebssystem die «Bourne Again Shell», kurz bash. In Version 10.8 Mountain Lion wird bash in Version 3.2 eingesetzt. Es gibt noch diverse andere Shells, mit denen man arbeiten könnte (Terminal:Einstellungen:Start), aber wir berücksichtigen (falls nicht anders vermerkt) immer die Shell der OS-X-Standarteinstellung — die «bash».
Einführung ins Terminal von OS X, macprime.ch Lexikon
Gönner-Abo

Ab CHF 5.– im Monat

👉🏼 Wir benötigen deine Unterstützung! Unterstütze macprime mit einem freiwilligen Gönner-Abo und mache die Zukunft unseres unabhängigen Apple-Mediums aus der Schweiz mit möglich.

macprime unterstützen