Weitere Sicherheitslücken

Unix-Bash trotz Shellshock-Patches unsicher

von - 29.09.2014
Nach Veröffentlichung von mehreren Patches für die Sicherheitslücke Shellshock, ist der Bug in der Bash-Shell noch immer nicht ausgemerzt. Drei weitere Lücken müssen zusätzlich gepatcht werden.
Foto: Shutterstock - Ai825
Nach Veröffentlichung von mehreren Patches für die Sicherheitslücke Shellshock, ist der Bug in der Bash-Shell noch immer nicht ausgemerzt. Drei weitere Lücken müssen zusätzlich gepatcht werden.
Immer noch gefährdet: Nachdem in der Kommandozeileneingabe Bash die schwerwiegende Sicherheitslücke Shellshock gefunden wurde, haben die großen Linux-Distributoren bereits Patches veröffentlicht, um das Problem zu beheben. Nun wurden drei weitere Sicherheitslücken entdeckt, die Shellshock nutzen. Betroffen sind alle Unix-Systeme, die auf die Bash-Shell setzen (Mac-OS, Linux, NAS-Betriebssysteme für Synology und QNAP).
Sicherheitspatch-Prüfung: Die Ausgabe "not patched" zeigt an, dass Florian Weimers Patch für die Sicherheitslücke Shellshock auf diesem System noch nicht installiert ist.
Sicherheitspatch-Prüfung: Die Ausgabe "not patched" zeigt an, dass Florian Weimers Patch für die Sicherheitslücke Shellshock auf diesem System noch nicht installiert ist.
Die neuen drei Sicherheitslücken werden unter der Bezeichnung CVE-2014-7186, CVE-2014-7187 und CVE-2014-6277 geführt und erlauben Remote-Angreifern DoS-Attacken (Denial of Service) auf Server durchzuführen. Durch eine Anfragen-Überlastung sind die Server dann nicht mehr für andere Computer im Internet erreichbar. Die dritte Sicherheitslücke ist laut National-Vulnerability-Database-Eintrag unter anderem durch einen fehlerhaften Patch für die ursprüngliche Shellshock-Sicherheitslücke CVE-2014-6271 entstanden. Wenn sie ausgenutzt wird, können Angreifer beliebigen Schad-Code auf den betroffenen Systemen ausführen.
Um Sicherheitslücken der Unix-Bash zu schließen empfiehlt der Google-Sicherheitsforscher Michal Zalewski die Installation des Patches von Red-Hat-Mitarbeiter Florian Weimer. Um zu überprüfen, ob der Patch installiert ist, geben Nutzer im Terminal folgenden Befehl ein foo='() { echo not patched; }' bash -c foo. Wenn die Wörter "not patched" erscheinen, ist der Patch noch nicht installiert. Wenn eine Meldung erscheint, dass der Befehl nicht gefunden wurde, ist der Patch bereits installiert.
Die Linux-Variante "Red Hat Enterprise Linux" behebt die Sicherheitslücken mit ihren Bash-Updates. Für die Linux-Distribution Fedora soll dies ebenfalls gelten.
Verwandte Themen