Viele Webseiten gehen in kürzester Zeit wieder offline

© SCANRAIL/FOTOLIA 42626474/Scanrail/Fotolia

Warnung
09/25/2014

Bashbleed: Extrem gefährliche Sicherheitslücke entdeckt

Eine Sicherheitslücke in der Standard-Software Bash, mit der in Linux/Unix-Systemen Befehle ausgeführt werden können, kann für das Ausführen von Schadcode missbraucht werden.

Wie Sicherheitsexperten und mittlerweile auch das Computer Emergency Readiness Team (CERT) der USA warnen, sind Linux- und Unix-Systeme, darunter auch Apples Mac OS X von einer schweren Lücke namens "Bashbleed" bzw. "Shellshock" betroffen. Die auf den meisten Systemen standardmäßig verwendete Shell "Bash" (Bourne-again shell), über die Befehle eingegeben werden können, soll zum Ausführen von Schadcode zweckentfremdet werden können. Angreifer könnten sich über Netzwerk-Zugänge von außen Zugriff verschaffen.

Neben Apple-Computern sind auch sämtliche Linux-Distributionen wie Ubuntu, Debian und Fedora betroffen. Da Linux-Systeme zudem in Servern, aber auch einer Vielzahl von Consumer-Geräten wie Kameras, aber auch Industrierobotern und Maschinen zum Einsatz kommt, könnte die Lücke potenziell gefährlicher sein als "Heartbleed", das eine Schwachstelle bei OpenSSL-Verschlüsselung zum Ausspionieren ausnutzen konnte.

Test-Eingabe

Ob das eigene System verwundbar ist, findet man laut Ars Technica heraus, indem man in Bash den folgenden Befehl ausführt:

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Spuckt das System die Antwort "vulnerable this is a test" aus, ist das System verwundbar. Keine Sorgen muss man sich machen, wenn die Shell folgende Antwort generiert:

bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test

Linux-Distributoren wie Ubuntu, Red Hat sowie Debian stellen bereits erste Patches zur Verfügung. Inwieweit sie die Lücke stopfen können, wird sich vermutlich erst in den nächsten Stunden oder Tagen zeigen.

eine Newsletter Anmeldung Platzhalter.

Wir würden hier gerne eine Newsletter Anmeldung zeigen. Leider haben Sie uns hierfür keine Zustimmung gegeben. Wenn Sie diesen anzeigen wollen, stimmen sie bitte Piano Software Inc. zu.