Immer noch gefährdet: Nachdem in der Kommandozeileneingabe Bash die
schwerwiegende Sicherheitslücke Shellshock gefunden wurde, haben die großen Linux-Distributoren bereits Patches veröffentlicht, um das Problem zu beheben. Nun wurden drei weitere Sicherheitslücken entdeckt, die Shellshock nutzen. Betroffen sind alle Unix-Systeme, die auf die Bash-Shell setzen (Mac-OS, Linux, NAS-Betriebssysteme für Synology und QNAP).
Die neuen drei Sicherheitslücken werden unter der Bezeichnung
CVE-2014-7186,
CVE-2014-7187 und
CVE-2014-6277 geführt und erlauben Remote-Angreifern DoS-Attacken (Denial of Service) auf Server durchzuführen. Durch eine Anfragen-Überlastung sind die Server dann nicht mehr für andere Computer im Internet erreichbar. Die dritte Sicherheitslücke ist laut National-Vulnerability-Database-Eintrag unter anderem durch einen fehlerhaften Patch für die ursprüngliche Shellshock-Sicherheitslücke CVE-2014-6271 entstanden. Wenn sie ausgenutzt wird, können Angreifer beliebigen Schad-Code auf den betroffenen Systemen ausführen.
Um Sicherheitslücken der Unix-Bash zu schließen empfiehlt der Google-Sicherheitsforscher Michal Zalewski die
Installation des Patches von Red-Hat-Mitarbeiter Florian Weimer. Um zu überprüfen, ob der Patch installiert ist, geben Nutzer im Terminal folgenden Befehl ein
foo='() { echo not patched; }' bash -c foo. Wenn die Wörter "not patched" erscheinen, ist der Patch noch nicht installiert. Wenn eine Meldung erscheint, dass der Befehl nicht gefunden wurde, ist der Patch bereits installiert.
Die Linux-Variante "Red Hat Enterprise Linux" behebt die Sicherheitslücken mit ihren
Bash-Updates. Für die Linux-Distribution Fedora soll dies ebenfalls gelten.