«Heartbleed 2»

25. September 2014 12:30; Akt: 25.09.2014 12:30 Print

Neuer Bug gefährdet ganze IT-Systeme

Eine neu entdeckte Sicherheitslücke bedroht nicht nur Webserver. Durch das Leck sind auch mit dem Netz verbundene Geräte wie Webcams gefährdet.

storybild

Die Bash-Shell ist die Standard-Kommandozeile unter Linux und MacOS X. Experten zufolge existiert schon seit längerem eine Bash-Sicherheitslücke, die IT-Systeme und mit dem Internet verbundene Geräte angreifbar macht. (Bild: Keystone/Salvatore di Nolfi)

Zum Thema
Fehler gesehen?

Medienberichten zufolge existiert die als Bash Bug oder Shellshock bezeichnete Sicherheitslücke schon seit über 20 Jahren. Aus diesem Grund hätte sie schon länger von Hackern und Geheimdiensten ausgenutzt werden können. Das Leck wurde in der Linux-Shell Bash entdeckt. Bash ist die Standard-Benutzerschnittstelle auf den meisten Unix-Systemen, einschliesslich so gut wie aller Linux-Distributionen. Da Bash auf Unix-Systemen in fast sämtlichen Situationen genutzt wird, ist nur schwer absehbar, wo ein Angreifer die Lücke genau nutzen würde, um den Code auszuführen. Ebenfalls betroffen ist das Betriebssystem Mac OSX von Apple, das auch über eine gefährdete Bash-Version verfügt.

Der Bug ermöglicht es Hackern, jeglichen Code in die Bash-Umgebungsvariablen einzufügen. Wird die Shell aufgerufen, wird dieser Code ungeprüft ausgeführt. Angreifer haben so die Möglichkeit, den Inhalt der Umgebungsvariablen zu kontrollieren und nicht nur Webserver, sondern auch ans Netz angeschlossene Geräte wie etwa Webcams oder ans Netz angeschlossene Haushaltsgeräte quasi fernzusteuern.

Wegen der weiten Verbreitung von Bash gehen Experten davon aus, dass der Shellshock so umfangreich wie Heartbleed sein könnte. Allerdings dürfte er nicht ganz so gefährlich sein, wie Ars Technica schreibt. Betroffen sind die Versionen 1.14 bis 4.3 des GNU-Bash. Viele der grossen Linux-Vertreiber, darunter Red Hat Enterprise, Fedora, CentOS, Ubuntu und Debian, haben bereits Patches für die betroffenen Versionen bereitgestellt. Apple hat Bash bisher noch nicht gepatcht. Wer über das entsprechende technische Know-how verfügt, findet aber hier eine Anleitung, um seinen Mac-Rechner zu überprüfen.

(pst)

Kommentarfunktion geschlossen
Die Kommentarfunktion für diese Story wurde automatisch deaktiviert. Der Grund ist die hohe Zahl eingehender Meinungsbeiträge zu aktuellen Themen. Uns ist wichtig, diese möglichst schnell zu sichten und freizuschalten. Wir bitten um Verständnis.

Die beliebtesten Leser-Kommentare

  • Radkappenfrieda am 25.09.2014 13:40 Report Diesen Beitrag melden

    Etwas ueberdramatisiert

    Also verglichen mit Heartbleed muss man sich bei diesem Bug schon ziemlich anstellen, um ihn ausnutzen zu koennen. Zweifellos ist es ein bisschen peinlich, aber hey, das ist Freie Software, die wird innert Tagesfrist repariert und die neuen Versionen stehen bereit.

    einklappen einklappen
  • gregor am 25.09.2014 13:07 Report Diesen Beitrag melden

    ist doch nicht schlimm

    wer niechts zu verbergen hat, hat nichts zu befürchten (wer ironie findet darf sie behalten)

  • asdf am 25.09.2014 12:53 via via Mobile Report Diesen Beitrag melden

    Ironie?

    Und ich dachte immer OSX wäre sicher

    einklappen einklappen

Die neusten Leser-Kommentare

  • Fux am 25.09.2014 18:36 via via Mobile Report Diesen Beitrag melden

    Windows

    Das ist nicht die Woche von Apple. Zuerst verbiegen sich die neuen iPhones und dann wird bekannt, dass OSX nicht sicher ist. Wo sind nun die Stimmen welche behaupten, dass Apple OS sicherer ist als Windows? Es kochen alle nur mit Wasser!

  • Peter Schnoog am 25.09.2014 15:02 Report Diesen Beitrag melden

    Bug oder Feature

    Die Frage ist meiner Meinung nach, ob dieses Verhalten Bug oder Feature darstellt. Ich selbst nutze dieses durchaus absichtlich, für mich also eher ein Feature. Nicht zuletzt müsste ein Angreifer zuerst mal eine Möglichkeit finden, irgendwelchen Code in meinem Umgebungsvariablen einzuschleussen. Läuft der Webserver nicht als via Bash gestarteter CGI Prozess ist von dieser Seite her keine Gefahr (und wer für den Indianer einen CGI mittels Bash spawnt mag es vllt. nicht anders verdient haben)

  • Dänu am 25.09.2014 14:31 Report Diesen Beitrag melden

    Drama hoch 2

    Verglichen mit Hearbleed ist die Lücke sicherlich weniger schlimm. Nur wer bspw. die Bash über Scripts (CGI, etc.) eingebunden hat, ist angreifbar. SSH ist nur nach Authentifizierung betroffen. Zudem haben bereits alle grösseren Distributoren gepatchte Paket ausgerollt. Alle meine Server zu Hause sind bereits gepatcht. Bei Heartbleed war der Aufwand einiges grösser und aus meiner Sicht die Gefahr um einiges höher.

    • Jacy am 25.09.2014 20:10 via via Mobile Report Diesen Beitrag melden

      seit 20 Jahren

      Die Lücke besteht bereits seit 20 Jahren. Wenn der Wurm schon im System ist dann nützen die patches nicht mehr viel.

    einklappen einklappen
  • Suppercompi am 25.09.2014 14:28 Report Diesen Beitrag melden

    Das macht Schlagzeilen!

    Wenn mal was bei Nicht-Windows Systemen den Bach runter geht ist dass immernoch ne Schalgzeile wert! Wenn Windows wieder reinhunzt mit schlechtem Code, das kräht kein Hahn. Ich sehe das als Riesenkompliment an freie Software.

  • Andy am 25.09.2014 13:49 Report Diesen Beitrag melden

    Aber Apple ist doch sooo sicher?

    mal was für die ganzen Apple Fanatiker, welche meinen ihr System wäre ja so viel sicherer als andere! Nichts ist sicher und die Geheimdienste nutzen diese Schwachstelle auch sicher schon seit 20 Jahren aus und ärgern sich nun, dass die Lücke nun "offiziell" entdeckt wurde...