Linux: Bash Bug „Shellshock“ könnte schlimmer als Heartbleed sein
An den Heartbleed-Bug erinnert Ihr Euch sicher noch. Er beschäftigte das Netz eine ganze Weile, betraf er so gut wie jeden, der sich irgendwie im Netz bewegt. Kaum vorstellbar, dass es eine größere Katastrophe geben könnte. Die könnte es aber tatsächlich geben, der Shellshock getaufte Bash Bug taucht in der Bash Shell von Linux auf. Nutzt man ihn korrekt aus, kann jeglicher Code ausgeführt werden, sobald die Shell aufgerufen wird.
Schlimm an diesem Fehler ist, dass er wohl seit längerer Zeit besteht und auch in Enterprise Linux Software vorhanden ist. Red Hat und Fedora haben bereits Patches veröffentlicht, es wird aber schwierig werden, alle Instanzen zu patchen, die betroffen sein könnten.
Auch OS X ist von der Lücke betroffen. Einen offiziellen Patch gibt es hier noch nicht. Auf dieser Seite kann man allerdings prüfen, ob man angreifbar ist und auch eine Anleitung für den Patch findet man dort. Sollte man aber auch nur machen, wenn man weiß, was man da tut, sonst einfach auf einen Patch von Apple warten.
Robert Graham von Errata Security erklärt in einem Blogpost, warum dieser Fehler schlimmer als Heartbleed ist. Vor allem liegt es daran, dass er schon so lange existiert und nicht nur eine bestimmte Version betrifft. Auch hat der Heartbleed-Bug gezeigt, dass Monate danach immer noch viele Systeme nicht gepatcht sind. Vom Bash Bug sollen noch mehr Geräte betroffen sein, von denen ebenso viele nicht gepatcht werden, weil es nie einen Patch geben wird.
Wenn man den Twitter-Account von Graham ein bisschen anschaut, stellt man schnell fest, dass mit Shellshock nicht zu spaßen ist. Es gibt bereits Exploits, und einfache Scans nach verwundbaren Systemen bringen sehr viele hervor, die gar nicht gepatcht werden können. Da der Fehler anscheinend seit fast 10 Jahren besteht, kann man sich vielleicht vorstellen, was alles davon betroffen ist. Das ist sicher nicht die letzte Meldung, die wir zu Shellshock lesen werden.
Wird geladen ...
Glaub auch nich, das es wirklich soo schlimm is, wie behauptet, zumindest im heim bereich, sprich normale Router, NAS Systeme, haben keine bash, weil sie einfach zu fett ist, bzw. auch bei den FritzBoxen, wärs mir neu, das man als User irgendwie nen ssh zugang bekommt, glaub aber selbst dann haben die doch sicher au keine bash, oder?
Ach wieder mal vollkommene Panikmache. Heartbleed war ein Desaster, weil es mit einem simplen Patch einspielen nicht getan war. Für den Bash-Fehler wurden auf allen großen Distributionen bereits updates ausgerollt. Man muss hier nicht bis zum nächsten Patchday warten. Zumal das Problem eh nur im Serverbereich relativ sein könnte.
Wer einen nicht gewarteten Server am Netz hat, gehört eh gesteinigt. Das ist dann aber kein Linux/Apple sonstwas Problem.
Bei Heartbleed war es ebenfalls mit einem Update getan, auch das gab es innerhalb weniger Stunden und auch da waren (und sind) Systeme problematisch für die es keine Updates mehr gibt, genau wie jetzt. Und genau wie bei Shellshock sind das Hauptproblem nicht aktive Server sondern Geräte wie Router und Settopboxen bis hin zu Kameras bei denen man häufig gar nicht genau weiß was genau darauf läuft. Und Clients sind auch in beiden Fällen betroffen. Nur ist die aktuelle Lücke schon viele Jahre alt und die Zahl betroffener Geräte entsprechend hoch.
Für alle Admins unter euch: Ich habe eine kleine Website gebaut, auf der ihr überprüfen könnt ob euer Webserver direkt betroffen ist: http://shellshocktest.com/
Eigentlich müsste hier auch OS X bzw. Apple in die Überschrift, statt im Kleingedruckten versteckt zu werden. So merkt das doch keiner. Die Süddeutsche formuliert das eindeutiger, sogar ganz oben auf der Titelseite: http://sz.de
@Iruwen: Wer trollt hier?
Ob du wohl verstanden hast, was hier zu lesen ist: https://de.opensuse.org/Terminal ? Ich bin überzeugt, das noch mehr Betriebssysteme unerkannte Leichen im Keller haben. Linux ist OpenSource. Deshalb dürfte es überhaupt kein Problem sein, den Fehler zu finden und ihn zu korrigieren.
Und hast du auch verstanden, dass diese Bug-Meldung, so wie viele andere zuvor auch, eine Panikmache von M$-Gläubigen ist? Mein TV und mein TV-Recorder laufen auch mit einem Linuxsystem, muss ich sie jetzt etwa fürchten und abschalten?
Ob Digicams gehackt werden können ist mir völlig wurscht. Meine Sony NEX hängt nicht am Internet. Deine etwa? Mein Router wird auch automatisch updatet, das habe ich bei seiner Installation so festgelegt. Was soll diese Panikmache? Reicht es nicht, wenn der Bug an die Coder von bash gemeldet wurde?
Wenn einige betroffene User/Admins bei ihrem LTS kein automatisches Update machen, dann ist es wohl ihre Angelegenheit. Falls bei Billig-Smartphones mit Androit kein Update vorgesehen ist, so ist das eher der geplanten Obsoleszenz zuzuschreiben und aus dieser Sicht vermutlich sogar ein erwünschter Effekt.
Ich habe gerade mal gegoogelt wer dieser Robert Graham ist: http://www.linkedin.com/in/robertgraham11
Deine „Argumentation“ ist lächerlich und zeugt von tiefem Unverständnis der Materie. Falls du wirklich nicht bewusst trollst, herzliches Beileid.
Lux
Warum? MacOS wird auf weit weniger dafür gefährdeten Geräten laufen.
Den seit wann gibt es MacOS auf Router, Firewalls, Smartphones und Co.?
Vermutlich dürften von dem Bug auch die meisten Android Phones betroffen sein und vermutlich noch vieles mehr.
Apple wir einen MacOS Patch bringen, sollte es MAcOS den noch betreffen oben wurde ja schon geschrieben, dass der Fehler nicht auftaucht. Ob jeder Router, jedes Android Phone je ein Update sehen wird, ist oft aber fraglich.
mit dieser Zeile im Terminal könnt ihr prüfen, ob die Lücke schon geschlossen ist:
$ env x='() { :;}; echo vulnerable‘ bash -c „echo this is a test
Wenn „this is a test“ ausgegeben wird, ist die Lücke geschlossen.
https://www.trustedsec.com/september-2014/shellshock-dhcp-rce-proof-concept/
Aber keine Sorge, ist ja alles nur Panikmache.
@Iruwen: Wenn du wirklich glaubst, dass bei Heartbleed nach einem Update alles getan war, zeigt das wie wenig du von der Materie verstehst. In dem Fall empfehle ich dir einen taktischen Rückzug in deine Trollhöhle. Hier kannst du nur noch verlieren.
Ich frage mich was Iruwen uns mit diesem Link sagen will. Ja, man könnte damit Systeme im Netzwerk exploiten, wenn man Zugriff zum DHCP hat. Ich könnte als Administrator auch einfach ein FUD Trojaner via SCCM an meine gesammten Clients verteilen.
Wo außer bei OSX ist eigentlich noch eine bash Shell aktiv? Auf meinem embedded-Zeugs wie Router, Diskstation oder Android jedenfalls nicht. Und wie sollte „jemand“ von außen darauf Zugriff bekommen, außer ich stell die Kiste mit laufenden Diensten ins Internet?