Login
Newsletter
Werbung

Mo, 29. September 2014, 12:45

Software::Systemverwaltung

ShellShock: Bash unter Beschuss

Nachdem Ende der vergangenen Woche eine fatale Lücke in Bash gefunden wurde, häufen sich nun Meldungen über Angriffe auf betroffene Server. Denn gänzlich scheinen die Probleme in Bash noch nicht ausgestanden zu sein.

Kritische Sicherheitslücke in Bash

Mirko Lindner

Kritische Sicherheitslücke in Bash

Die Unix-Shell Bash, die in den meisten Linux-Distributionen die Standardshell darstellt, scheint noch mehr Lücken zu haben. Nachdem die meisten Distributoren am Freitag die bekannt gewordene »Shellshock«-Lücke korrigiert haben, fanden Sicherheitsexperten gleich eine weitere Möglichkeit, die Lücke auf einem anderen Wege auszunutzen. So erreichte die Anwender im Laufe des Freitags eine zweite Welle an Patches, die auch die zweite Lücke korrigierte. Doch auch dieser Versuch erwies sich bei manchen Herstellern als wenig effektiv, sodass sie am Wochenende eine weitere Korrektur nachgeschoben haben.

Wer also seine Systeme am Freitag aktualisierte, sollte unter Umständen noch ein Mal nach einem aktuellen Stand der Bash Ausschau halten und mögliche Nachfolge-Patches einspielen. Denn ausgestanden scheint das Problem noch nicht zu sein. Wie diversen Berichten entnommen werden kann, wird die Lücke bereits aktiv ausgenutzt. So schrieb bereits Ende der vergangenen Woche das Magazin »Wired« über ein Bot-Netzwerk, das Shellshock für seine Ausbreitung nutzt. Andere Angreifer nutzen Shellshock seit dem Wochenende für die Installation von Schadsoftware, die das System übernehmen oder zu einem Zombie verwandelt. Entsprechende Software findet sich seit ein paar Tagen in verschiedenen Ausführungen unter anderem auch auf Github.

Unterdessen finden Experten immer mehr Fehler in der Bash, die zu potenziellen Lücken heranwachsen. So berichtete Googles Sicherheitsexperte Michal »lcamtuf« Zalewski über ein neues Problem (CVE-2014-6277), das zwar nichts mit ShellShock zu tun hat, doch ebenso für Probleme sorgen kann. Das in Verbindung mit Address Space Layout Randomization (ASLR) stehende Problem sei laut Zalewski ebenfalls aus der Ferne ausnutzbar. Genaue Details hat er allerdings lediglich den Bash-Maintainern und den Distributoren genannt, die wiederum für Korrekturen vor möglichen Angriffen sorgen sollen.

Indes streiten Experten, ob ShellShock größere Ausmaße als die berühmte »Heartbleed«-Lücke annehmen kann. Eine genaue Aussage ist – und das steht mit ziemlicher Sicherheit fest – nicht möglich, denn dazu sind die Lücken zu verschieden. Gemeinsam ist allerdings die Art, wie die Software entwickelt wurde. Dementsprechend steht auch die offene und freie Art der Softwareentwicklung im Blickfeld und auch Forscher wie Robert Graham fragen sich, ob die Offenheit einer Software wirklich zur Sicherheit beiträgt und die viel beschworenen Synergieeffekte der »Viele-Augen-Kontolle« tatsächlich auftreten.

Werbung
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung