25.09.2014 10:30

«Heartbleed 2»

Neuer Bug gefährdet ganze IT-Systeme

Eine neu entdeckte Sicherheitslücke bedroht nicht nur Webserver. Durch das Leck sind auch mit dem Netz verbundene Geräte wie Webcams gefährdet.

von
pst
Die Bash-Shell ist die Standard-Kommandozeile unter Linux und MacOS X. Experten zufolge existiert schon seit längerem eine Bash-Sicherheitslücke, die IT-Systeme und mit dem Internet verbundene Geräte angreifbar macht.

Die Bash-Shell ist die Standard-Kommandozeile unter Linux und MacOS X. Experten zufolge existiert schon seit längerem eine Bash-Sicherheitslücke, die IT-Systeme und mit dem Internet verbundene Geräte angreifbar macht.

Medienberichten zufolge existiert die als Bash Bug oder Shellshock bezeichnete Sicherheitslücke schon seit über 20 Jahren. Aus diesem Grund hätte sie schon länger von Hackern und Geheimdiensten ausgenutzt werden können. Das Leck wurde in der Linux-Shell Bash entdeckt. Bash ist die Standard-Benutzerschnittstelle auf den meisten Unix-Systemen, einschliesslich so gut wie aller Linux-Distributionen. Da Bash auf Unix-Systemen in fast sämtlichen Situationen genutzt wird, ist nur schwer absehbar, wo ein Angreifer die Lücke genau nutzen würde, um den Code auszuführen. Ebenfalls betroffen ist das Betriebssystem Mac OSX von Apple, das auch über eine gefährdete Bash-Version verfügt.

Der Bug ermöglicht es Hackern, jeglichen Code in die Bash-Umgebungsvariablen einzufügen. Wird die Shell aufgerufen, wird dieser Code ungeprüft ausgeführt. Angreifer haben so die Möglichkeit, den Inhalt der Umgebungsvariablen zu kontrollieren und nicht nur Webserver, sondern auch ans Netz angeschlossene Geräte wie etwa Webcams oder ans Netz angeschlossene Haushaltsgeräte quasi fernzusteuern.

Wegen der weiten Verbreitung von Bash gehen Experten davon aus, dass der Shellshock so umfangreich wie Heartbleed sein könnte. Allerdings dürfte er nicht ganz so gefährlich sein, wie Ars Technica schreibt. Betroffen sind die Versionen 1.14 bis 4.3 des GNU-Bash. Viele der grossen Linux-Vertreiber, darunter Red Hat Enterprise, Fedora, CentOS, Ubuntu und Debian, haben bereits Patches für die betroffenen Versionen bereitgestellt. Apple hat Bash bisher noch nicht gepatcht. Wer über das entsprechende technische Know-how verfügt, findet aber hier eine Anleitung, um seinen Mac-Rechner zu überprüfen.

Deine Meinung

Fehler gefunden?Jetzt melden.