Linux: Bash Bug „Shellshock“ könnte schlimmer als Heartbleed sein

25. September 2014 Kategorie: Backup & Security, Internet, Linux, geschrieben von:

An den Heartbleed-Bug erinnert Ihr Euch sicher noch. Er beschäftigte das Netz eine ganze Weile, betraf er so gut wie jeden, der sich irgendwie im Netz bewegt. Kaum vorstellbar, dass es eine größere Katastrophe geben könnte. Die könnte es aber tatsächlich geben, der Shellshock getaufte Bash Bug taucht in der Bash Shell von Linux auf. Nutzt man ihn korrekt aus, kann jeglicher Code ausgeführt werden, sobald die Shell aufgerufen wird.

Tweet_Graham

Schlimm an diesem Fehler ist, dass er wohl seit längerer Zeit besteht und auch in Enterprise Linux Software vorhanden ist. Red Hat und Fedora haben bereits Patches veröffentlicht, es wird aber schwierig werden, alle Instanzen zu patchen, die betroffen sein könnten.

Auch OS X ist von der Lücke betroffen. Einen offiziellen Patch gibt es hier noch nicht. Auf dieser Seite kann man allerdings prüfen, ob man angreifbar ist und auch eine Anleitung für den Patch findet man dort. Sollte man aber auch nur machen, wenn man weiß, was man da tut, sonst einfach auf einen Patch von Apple warten.

Robert Graham von Errata Security erklärt in einem Blogpost, warum dieser Fehler schlimmer als Heartbleed ist. Vor allem liegt es daran, dass er schon so lange existiert und nicht nur eine bestimmte Version betrifft. Auch hat der Heartbleed-Bug gezeigt, dass Monate danach immer noch viele Systeme nicht gepatcht sind. Vom Bash Bug sollen noch mehr Geräte betroffen sein, von denen ebenso viele nicht gepatcht werden, weil es nie einen Patch geben wird.

Wenn man den Twitter-Account von Graham ein bisschen anschaut, stellt man schnell fest, dass mit Shellshock nicht zu spaßen ist. Es gibt bereits Exploits, und einfache Scans nach verwundbaren Systemen bringen sehr viele hervor, die gar nicht gepatcht werden können. Da der Fehler anscheinend seit fast 10 Jahren besteht, kann man sich vielleicht vorstellen, was alles davon betroffen ist. Das ist sicher nicht die letzte Meldung, die wir zu Shellshock lesen werden.


Du entscheidest mit! Wir suchen das Smartphone des Jahres 2017! Jetzt abstimmen!

 

Quelle: The Verge |

Über den Autor:

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Sascha hat bereits 9407 Artikel geschrieben.