Linux: Bash Bug „Shellshock“ könnte schlimmer als Heartbleed sein
An den Heartbleed-Bug erinnert Ihr Euch sicher noch. Er beschäftigte das Netz eine ganze Weile, betraf er so gut wie jeden, der sich irgendwie im Netz bewegt. Kaum vorstellbar, dass es eine größere Katastrophe geben könnte. Die könnte es aber tatsächlich geben, der Shellshock getaufte Bash Bug taucht in der Bash Shell von Linux auf. Nutzt man ihn korrekt aus, kann jeglicher Code ausgeführt werden, sobald die Shell aufgerufen wird.
Schlimm an diesem Fehler ist, dass er wohl seit längerer Zeit besteht und auch in Enterprise Linux Software vorhanden ist. Red Hat und Fedora haben bereits Patches veröffentlicht, es wird aber schwierig werden, alle Instanzen zu patchen, die betroffen sein könnten.
Auch OS X ist von der Lücke betroffen. Einen offiziellen Patch gibt es hier noch nicht. Auf dieser Seite kann man allerdings prüfen, ob man angreifbar ist und auch eine Anleitung für den Patch findet man dort. Sollte man aber auch nur machen, wenn man weiß, was man da tut, sonst einfach auf einen Patch von Apple warten.
Robert Graham von Errata Security erklärt in einem Blogpost, warum dieser Fehler schlimmer als Heartbleed ist. Vor allem liegt es daran, dass er schon so lange existiert und nicht nur eine bestimmte Version betrifft. Auch hat der Heartbleed-Bug gezeigt, dass Monate danach immer noch viele Systeme nicht gepatcht sind. Vom Bash Bug sollen noch mehr Geräte betroffen sein, von denen ebenso viele nicht gepatcht werden, weil es nie einen Patch geben wird.
Wenn man den Twitter-Account von Graham ein bisschen anschaut, stellt man schnell fest, dass mit Shellshock nicht zu spaßen ist. Es gibt bereits Exploits, und einfache Scans nach verwundbaren Systemen bringen sehr viele hervor, die gar nicht gepatcht werden können. Da der Fehler anscheinend seit fast 10 Jahren besteht, kann man sich vielleicht vorstellen, was alles davon betroffen ist. Das ist sicher nicht die letzte Meldung, die wir zu Shellshock lesen werden.
Linux? N i e m a l s !!!
So hieß es doch immer wieder. Kann mich einer gewissen Schadenfreude nicht erwehren.
Ich bin mir sicher, dass noch mehr solche Fehler auftauchen werden in der Zukunft. Die wenigste Software wird von Spezialisten in IT-Sicherheit entwickelt, Puffer-Überläufe und andere Schwachstellen für Angriffe gibt es also ws. fast überall.
Eklig, ja, schlimmer als Heartbleed? Glaub ich nicht. Zum einen hat jede relevante Distro die Patches schon im Umlauf. Gleichzeitig ist das aber ein Paket, was sich sehr easy ohne wirkliche Nebenwirkungen updaten lässt. Man muß also nicht erst lange testen, neue Certs erstellen oder sonstwas.
Die Gefahr besteht wie immer nur bei Kisten, um die sich keiner kümmert.
Bash ist also Linux? Ist Bash ein Linux Fork, den ich verpasst habe? 🙂 Abgesehen davon hat Linux genug Fehler. So wie alle anderen Kernel auch.
Mein erster Gedanke war jetzt: müsste das dann eventuell fast sämtliche Linux Distros, OS X u. älter sowie Android u.ä betreffen? Man müsste mal ne Weile überlegen was alles auf Linux basiert. Kindle Fire OS, Chrome OS? OS X wurde von Sascha schon erwähnt – auch dort wäre also wichtig zu schauen ob auch ältere Versionen betroffen sind. Wenn Android betroffen ist wird es sicher richtig kompliziert – Stichwort Updates …
@Mike – es geht nicht unbedingt um aktuelle Computer oder (Web-) Server, sondern vor allem um Hardware Firewalls, Router, managend Switche und all so ein Zeug, das auf Linux basiert und eine Bash (meistens Hardware die z.B. auch Webinterface-Konfiguration bietet) hat. Alle möglichen Netzwerkkomponenten also, für die es entweder keine Updates gibt oder kein Mensch weiß wie man sie einspielen sollte. Oder wann hast Du schonmal die Firmware von deinem Netzwerkdrucker aktualisiert 🙂 ?
Der Bug ist nur auszunutzen, wenn man mit irgendeinem Server User-Werte entgegen nimmt und dann in der Bash diese Werte als Umgebungsvariablen setzt.
Wer macht denn sowas?
Das wird mit Sicherheit nur ganz wenige Anwender betreffen, deshalb finde ich das alles maßlos übertrieben.
‚Heartbleed-Bug gezeigt, dass Monate danach immer noch viele Systeme nicht gepatcht sind
Genau dies ist ein Riesen Problem, auch das selbe übrigens beim großen Leck in AVM Fritzboxen vor Monaten – ebenfalls noch viele ungefixt unterwegs.
@Elke: Das sagt „man“ von Apple-Produkten doch auch. OS X ist dank seiner Unix-Herkunft aber genauso betroffen …
Der Unterschied ist der, die großen Linux-Distributionen haben mittlerweile schon Updates veröffentlicht, während die Mac-Nutzer wohl wieder genauso lange warten dürfen wie bei Heartbleed.
Übrigens, bei Heise und Co. findet man folgenden Code, um seine Bash zu testen:
env x='() { :;}; echo vulnerable‘ bash -c „echo this is a test“
Wenn „vulnerable“ ausgegeben wird ist man verwundbar. Falls nur Bash-Warnings kommen, ist man nicht betroffen.
„I bet it was that 4chan guy again“ bestes Fundstück auf seinem Twitter. *lach*
Mal gucken was uns die Tage erwartet.
Ob die NSA davon wusste und es genutzt hat?
Die Anführungszeichen und das Apostroph in meinem vorigen Kommentar müssen natürlich die normalen/geraden sein, nicht die typographisch korrekten, die hier automatisch erstellt werden.
Linux hat doch nur 0.1% verbreitung!!! Jedenfalls sagen mir das alle Windowsexperten. Also alles gut!
@Marc, du übersiehst aber auch, dass die BASH nicht so oft Verwendung findet, wie du dir das vorstellst. Die ist allein auf Grund ihrer Größe nur auf den wenisten embedded Systemen zu finden.
Im Prinzip ist’s aber auch völlig wurscht, die meisten Normalnutzer haben eh keine Ahnung. Insofern liegt es an den Distributoren, Updates rauszubringen – ja, natürlich auch für Router und ähnliches, so betroffen.
Bringt aber nix, die Leute in Panik zu versetzen, solange noch kein Fix da ist. Dann denken die nur, ich bin nicht betroffen oder es ist nicht so wichtig und kümmern sich nicht drum.
Suse hat zumindest für SLES auch schon Updates veröffentlicht.
@Stefan: „Der Bug ist nur auszunutzen, wenn man mit irgendeinem Server User-Werte entgegen nimmt und dann in der Bash diese Werte als Umgebungsvariablen setzt.
Wer macht denn sowas?
Das wird mit Sicherheit nur ganz wenige Anwender betreffen, deshalb finde ich das alles maßlos übertrieben.“
Das wird an vielen Stellen gemacht ohne dass du dir darüber im Klaren bist und betrifft deshalb ziemlich viele Systeme. Eine Umgebungsvariable einzuschleusen ist einfach, z.B. über den User Agent via CGI. Das Problem sind ja wie auch im Artikel steht nicht irgendwelche Clients oder Server die eh sofort gepatcht sind sondern die große Masse von (embedded) Systemen die niemals ein Update bekommen werden. Und selbst wenn am Ende nur 1% der potentiellen Angriffsziele übrig bleiben werden das immer noch hunderttausende sein.
Hab Android 4.4.4 und im Terminal wird mir“ vulnerable hello“ zurückgegeben. ?
Oh, eine Katastrophe. Linux ist angreifbar… Ich muss nur bash aufrufen und ein falsches Zeichen eingeben. Katastrophe – Wir werden alle sterben!
Ich warte sehnsüchtig auf ein Sicherheits-Update sowie die Version 13.2 von OpenSuse. Bis dahin gehe ich nicht mehr ins Internet. Die Setup-DVD lasse ich mir per DHL zuschicken und werde keine Netzinstallation mehr ausführen.
Zur Erklärung für Winseln-User:
Bash hat eine ähnliche Funktion wie die cmd.exe. Wer von euch ruft sie täglich mehrmals auf und versucht vor allem, sie mit Scripten und falschen Kommando-Parametern zu traktieren? Wer von euch schreibt also Batchdateien oder klickt ständig auf diesen rum, falls sie bei drei nicht vom Desktop verschwunden sind?
Ich las gerade, das weltweit für Windows neue Malware im Minutentakt erzeugt wird. Das wurde aber schon vor sechs Jahren in http://www.pctipp.ch/news/sicherheit/artikel/viren-im-minutentakt-44057/ geschrieben. Hat sich seit dem etwas geändert?
Benutze OS X und meine Shell ist nicht verwundbar
Nice try Hinterwaeldler, beim nächsten Trollversuch aber etwas subtiler vorgehen dann steigt vielleicht jemand argumentativ drauf ein.