Linux: Bash Bug „Shellshock“ könnte schlimmer als Heartbleed sein

An den Heartbleed-Bug erinnert Ihr Euch sicher noch. Er beschäftigte das Netz eine ganze Weile, betraf er so gut wie jeden, der sich irgendwie im Netz bewegt. Kaum vorstellbar, dass es eine größere Katastrophe geben könnte. Die könnte es aber tatsächlich geben, der Shellshock getaufte Bash Bug taucht in der Bash Shell von Linux auf. Nutzt man ihn korrekt aus, kann jeglicher Code ausgeführt werden, sobald die Shell aufgerufen wird.

Tweet_Graham

Schlimm an diesem Fehler ist, dass er wohl seit längerer Zeit besteht und auch in Enterprise Linux Software vorhanden ist. Red Hat und Fedora haben bereits Patches veröffentlicht, es wird aber schwierig werden, alle Instanzen zu patchen, die betroffen sein könnten.

Auch OS X ist von der Lücke betroffen. Einen offiziellen Patch gibt es hier noch nicht. Auf dieser Seite kann man allerdings prüfen, ob man angreifbar ist und auch eine Anleitung für den Patch findet man dort. Sollte man aber auch nur machen, wenn man weiß, was man da tut, sonst einfach auf einen Patch von Apple warten.

Robert Graham von Errata Security erklärt in einem Blogpost, warum dieser Fehler schlimmer als Heartbleed ist. Vor allem liegt es daran, dass er schon so lange existiert und nicht nur eine bestimmte Version betrifft. Auch hat der Heartbleed-Bug gezeigt, dass Monate danach immer noch viele Systeme nicht gepatcht sind. Vom Bash Bug sollen noch mehr Geräte betroffen sein, von denen ebenso viele nicht gepatcht werden, weil es nie einen Patch geben wird.

Wenn man den Twitter-Account von Graham ein bisschen anschaut, stellt man schnell fest, dass mit Shellshock nicht zu spaßen ist. Es gibt bereits Exploits, und einfache Scans nach verwundbaren Systemen bringen sehr viele hervor, die gar nicht gepatcht werden können. Da der Fehler anscheinend seit fast 10 Jahren besteht, kann man sich vielleicht vorstellen, was alles davon betroffen ist. Das ist sicher nicht die letzte Meldung, die wir zu Shellshock lesen werden.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Sascha Ostermaier

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

37 Kommentare

  1. Linux? N i e m a l s !!!
    So hieß es doch immer wieder. Kann mich einer gewissen Schadenfreude nicht erwehren.

  2. Ich bin mir sicher, dass noch mehr solche Fehler auftauchen werden in der Zukunft. Die wenigste Software wird von Spezialisten in IT-Sicherheit entwickelt, Puffer-Überläufe und andere Schwachstellen für Angriffe gibt es also ws. fast überall.

  3. Eklig, ja, schlimmer als Heartbleed? Glaub ich nicht. Zum einen hat jede relevante Distro die Patches schon im Umlauf. Gleichzeitig ist das aber ein Paket, was sich sehr easy ohne wirkliche Nebenwirkungen updaten lässt. Man muß also nicht erst lange testen, neue Certs erstellen oder sonstwas.

    Die Gefahr besteht wie immer nur bei Kisten, um die sich keiner kümmert.

  4. Bash ist also Linux? Ist Bash ein Linux Fork, den ich verpasst habe? 🙂 Abgesehen davon hat Linux genug Fehler. So wie alle anderen Kernel auch.

  5. Mein erster Gedanke war jetzt: müsste das dann eventuell fast sämtliche Linux Distros, OS X u. älter sowie Android u.ä betreffen? Man müsste mal ne Weile überlegen was alles auf Linux basiert. Kindle Fire OS, Chrome OS? OS X wurde von Sascha schon erwähnt – auch dort wäre also wichtig zu schauen ob auch ältere Versionen betroffen sind. Wenn Android betroffen ist wird es sicher richtig kompliziert – Stichwort Updates …

  6. @Mike – es geht nicht unbedingt um aktuelle Computer oder (Web-) Server, sondern vor allem um Hardware Firewalls, Router, managend Switche und all so ein Zeug, das auf Linux basiert und eine Bash (meistens Hardware die z.B. auch Webinterface-Konfiguration bietet) hat. Alle möglichen Netzwerkkomponenten also, für die es entweder keine Updates gibt oder kein Mensch weiß wie man sie einspielen sollte. Oder wann hast Du schonmal die Firmware von deinem Netzwerkdrucker aktualisiert 🙂 ?

  7. Der Bug ist nur auszunutzen, wenn man mit irgendeinem Server User-Werte entgegen nimmt und dann in der Bash diese Werte als Umgebungsvariablen setzt.
    Wer macht denn sowas?
    Das wird mit Sicherheit nur ganz wenige Anwender betreffen, deshalb finde ich das alles maßlos übertrieben.

  8. ‚Heartbleed-Bug gezeigt, dass Monate danach immer noch viele Systeme nicht gepatcht sind
    Genau dies ist ein Riesen Problem, auch das selbe übrigens beim großen Leck in AVM Fritzboxen vor Monaten – ebenfalls noch viele ungefixt unterwegs.

  9. der andere Peter says:

    @Elke: Das sagt „man“ von Apple-Produkten doch auch. OS X ist dank seiner Unix-Herkunft aber genauso betroffen …

    Der Unterschied ist der, die großen Linux-Distributionen haben mittlerweile schon Updates veröffentlicht, während die Mac-Nutzer wohl wieder genauso lange warten dürfen wie bei Heartbleed.

    Übrigens, bei Heise und Co. findet man folgenden Code, um seine Bash zu testen:
    env x='() { :;}; echo vulnerable‘ bash -c „echo this is a test“
    Wenn „vulnerable“ ausgegeben wird ist man verwundbar. Falls nur Bash-Warnings kommen, ist man nicht betroffen.

  10. „I bet it was that 4chan guy again“ bestes Fundstück auf seinem Twitter. *lach*
    Mal gucken was uns die Tage erwartet.

  11. Ob die NSA davon wusste und es genutzt hat?

  12. der andere Peter says:

    Die Anführungszeichen und das Apostroph in meinem vorigen Kommentar müssen natürlich die normalen/geraden sein, nicht die typographisch korrekten, die hier automatisch erstellt werden.

  13. Linux hat doch nur 0.1% verbreitung!!! Jedenfalls sagen mir das alle Windowsexperten. Also alles gut!

  14. @Marc, du übersiehst aber auch, dass die BASH nicht so oft Verwendung findet, wie du dir das vorstellst. Die ist allein auf Grund ihrer Größe nur auf den wenisten embedded Systemen zu finden.

    Im Prinzip ist’s aber auch völlig wurscht, die meisten Normalnutzer haben eh keine Ahnung. Insofern liegt es an den Distributoren, Updates rauszubringen – ja, natürlich auch für Router und ähnliches, so betroffen.

    Bringt aber nix, die Leute in Panik zu versetzen, solange noch kein Fix da ist. Dann denken die nur, ich bin nicht betroffen oder es ist nicht so wichtig und kümmern sich nicht drum.

  15. Suse hat zumindest für SLES auch schon Updates veröffentlicht.

  16. @Stefan: „Der Bug ist nur auszunutzen, wenn man mit irgendeinem Server User-Werte entgegen nimmt und dann in der Bash diese Werte als Umgebungsvariablen setzt.
    Wer macht denn sowas?
    Das wird mit Sicherheit nur ganz wenige Anwender betreffen, deshalb finde ich das alles maßlos übertrieben.“
    Das wird an vielen Stellen gemacht ohne dass du dir darüber im Klaren bist und betrifft deshalb ziemlich viele Systeme. Eine Umgebungsvariable einzuschleusen ist einfach, z.B. über den User Agent via CGI. Das Problem sind ja wie auch im Artikel steht nicht irgendwelche Clients oder Server die eh sofort gepatcht sind sondern die große Masse von (embedded) Systemen die niemals ein Update bekommen werden. Und selbst wenn am Ende nur 1% der potentiellen Angriffsziele übrig bleiben werden das immer noch hunderttausende sein.

  17. Hab Android 4.4.4 und im Terminal wird mir“ vulnerable hello“ zurückgegeben. ?

  18. Hinterwaeldler says:

    Oh, eine Katastrophe. Linux ist angreifbar… Ich muss nur bash aufrufen und ein falsches Zeichen eingeben. Katastrophe – Wir werden alle sterben!

    Ich warte sehnsüchtig auf ein Sicherheits-Update sowie die Version 13.2 von OpenSuse. Bis dahin gehe ich nicht mehr ins Internet. Die Setup-DVD lasse ich mir per DHL zuschicken und werde keine Netzinstallation mehr ausführen.

    Zur Erklärung für Winseln-User:
    Bash hat eine ähnliche Funktion wie die cmd.exe. Wer von euch ruft sie täglich mehrmals auf und versucht vor allem, sie mit Scripten und falschen Kommando-Parametern zu traktieren? Wer von euch schreibt also Batchdateien oder klickt ständig auf diesen rum, falls sie bei drei nicht vom Desktop verschwunden sind?

    Ich las gerade, das weltweit für Windows neue Malware im Minutentakt erzeugt wird. Das wurde aber schon vor sechs Jahren in http://www.pctipp.ch/news/sicherheit/artikel/viren-im-minutentakt-44057/ geschrieben. Hat sich seit dem etwas geändert?

  19. Benutze OS X und meine Shell ist nicht verwundbar

  20. Nice try Hinterwaeldler, beim nächsten Trollversuch aber etwas subtiler vorgehen dann steigt vielleicht jemand argumentativ drauf ein.

  21. Glaub auch nich, das es wirklich soo schlimm is, wie behauptet, zumindest im heim bereich, sprich normale Router, NAS Systeme, haben keine bash, weil sie einfach zu fett ist, bzw. auch bei den FritzBoxen, wärs mir neu, das man als User irgendwie nen ssh zugang bekommt, glaub aber selbst dann haben die doch sicher au keine bash, oder?

  22. Ach wieder mal vollkommene Panikmache. Heartbleed war ein Desaster, weil es mit einem simplen Patch einspielen nicht getan war. Für den Bash-Fehler wurden auf allen großen Distributionen bereits updates ausgerollt. Man muss hier nicht bis zum nächsten Patchday warten. Zumal das Problem eh nur im Serverbereich relativ sein könnte.

    Wer einen nicht gewarteten Server am Netz hat, gehört eh gesteinigt. Das ist dann aber kein Linux/Apple sonstwas Problem.

  23. Bei Heartbleed war es ebenfalls mit einem Update getan, auch das gab es innerhalb weniger Stunden und auch da waren (und sind) Systeme problematisch für die es keine Updates mehr gibt, genau wie jetzt. Und genau wie bei Shellshock sind das Hauptproblem nicht aktive Server sondern Geräte wie Router und Settopboxen bis hin zu Kameras bei denen man häufig gar nicht genau weiß was genau darauf läuft. Und Clients sind auch in beiden Fällen betroffen. Nur ist die aktuelle Lücke schon viele Jahre alt und die Zahl betroffener Geräte entsprechend hoch.

  24. Für alle Admins unter euch: Ich habe eine kleine Website gebaut, auf der ihr überprüfen könnt ob euer Webserver direkt betroffen ist: http://shellshocktest.com/

  25. Eigentlich müsste hier auch OS X bzw. Apple in die Überschrift, statt im Kleingedruckten versteckt zu werden. So merkt das doch keiner. Die Süddeutsche formuliert das eindeutiger, sogar ganz oben auf der Titelseite: http://sz.de

  26. Hinterwaeldler says:

    @Iruwen: Wer trollt hier?

    Ob du wohl verstanden hast, was hier zu lesen ist: https://de.opensuse.org/Terminal ? Ich bin überzeugt, das noch mehr Betriebssysteme unerkannte Leichen im Keller haben. Linux ist OpenSource. Deshalb dürfte es überhaupt kein Problem sein, den Fehler zu finden und ihn zu korrigieren.

    Und hast du auch verstanden, dass diese Bug-Meldung, so wie viele andere zuvor auch, eine Panikmache von M$-Gläubigen ist? Mein TV und mein TV-Recorder laufen auch mit einem Linuxsystem, muss ich sie jetzt etwa fürchten und abschalten?

    Ob Digicams gehackt werden können ist mir völlig wurscht. Meine Sony NEX hängt nicht am Internet. Deine etwa? Mein Router wird auch automatisch updatet, das habe ich bei seiner Installation so festgelegt. Was soll diese Panikmache? Reicht es nicht, wenn der Bug an die Coder von bash gemeldet wurde?

    Wenn einige betroffene User/Admins bei ihrem LTS kein automatisches Update machen, dann ist es wohl ihre Angelegenheit. Falls bei Billig-Smartphones mit Androit kein Update vorgesehen ist, so ist das eher der geplanten Obsoleszenz zuzuschreiben und aus dieser Sicht vermutlich sogar ein erwünschter Effekt.

  27. Hinterwaeldler says:

    Ich habe gerade mal gegoogelt wer dieser Robert Graham ist: http://www.linkedin.com/in/robertgraham11

  28. Deine „Argumentation“ ist lächerlich und zeugt von tiefem Unverständnis der Materie. Falls du wirklich nicht bewusst trollst, herzliches Beileid.

  29. Lux
    Warum? MacOS wird auf weit weniger dafür gefährdeten Geräten laufen.
    Den seit wann gibt es MacOS auf Router, Firewalls, Smartphones und Co.?
    Vermutlich dürften von dem Bug auch die meisten Android Phones betroffen sein und vermutlich noch vieles mehr.

    Apple wir einen MacOS Patch bringen, sollte es MAcOS den noch betreffen oben wurde ja schon geschrieben, dass der Fehler nicht auftaucht. Ob jeder Router, jedes Android Phone je ein Update sehen wird, ist oft aber fraglich.

  30. mit dieser Zeile im Terminal könnt ihr prüfen, ob die Lücke schon geschlossen ist:

    $ env x='() { :;}; echo vulnerable‘ bash -c „echo this is a test

    Wenn „this is a test“ ausgegeben wird, ist die Lücke geschlossen.

  31. @Iruwen: Wenn du wirklich glaubst, dass bei Heartbleed nach einem Update alles getan war, zeigt das wie wenig du von der Materie verstehst. In dem Fall empfehle ich dir einen taktischen Rückzug in deine Trollhöhle. Hier kannst du nur noch verlieren.

  32. Ich frage mich was Iruwen uns mit diesem Link sagen will. Ja, man könnte damit Systeme im Netzwerk exploiten, wenn man Zugriff zum DHCP hat. Ich könnte als Administrator auch einfach ein FUD Trojaner via SCCM an meine gesammten Clients verteilen.

  33. Wo außer bei OSX ist eigentlich noch eine bash Shell aktiv? Auf meinem embedded-Zeugs wie Router, Diskstation oder Android jedenfalls nicht. Und wie sollte „jemand“ von außen darauf Zugriff bekommen, außer ich stell die Kiste mit laufenden Diensten ins Internet?

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.