Bashbleed: Extrem gefährliche Sicherheitslücke entdeckt

Wie Sicherheitsexperten und mittlerweile auch das Computer Emergency Readiness Team (CERT) der USA warnen, sind Linux- und Unix-Systeme, darunter auch Apples Mac OS X von einer schweren Lücke namens "Bashbleed" bzw. "Shellshock" betroffen. Die auf den meisten Systemen standardmäßig verwendete Shell "Bash" (Bourne-again shell), über die Befehle eingegeben werden können, soll zum Ausführen von Schadcode zweckentfremdet werden können. Angreifer könnten sich über Netzwerk-Zugänge von außen Zugriff verschaffen.

Neben Apple-Computern sind auch sämtliche Linux-Distributionen wie Ubuntu, Debian und Fedora betroffen. Da Linux-Systeme zudem in Servern, aber auch einer Vielzahl von Consumer-Geräten wie Kameras, aber auch Industrierobotern und Maschinen zum Einsatz kommt, könnte die Lücke potenziell gefährlicher sein als "Heartbleed", das eine Schwachstelle bei OpenSSL-Verschlüsselung zum Ausspionieren ausnutzen konnte.

Test-Eingabe

Ob das eigene System verwundbar ist, findet man laut Ars Technica heraus, indem man in Bash den folgenden Befehl ausführt:

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Spuckt das System die Antwort "vulnerable this is a test" aus, ist das System verwundbar. Keine Sorgen muss man sich machen, wenn die Shell folgende Antwort generiert:

bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test

Linux-Distributoren wie Ubuntu, Red Hat sowie Debian stellen bereits erste Patches zur Verfügung. Inwieweit sie die Lücke stopfen können, wird sich vermutlich erst in den nächsten Stunden oder Tagen zeigen.