Nach Heartbleed kommt Bashbleed

Shellshock-Logo (Quelle: Paul M. Gerhardt / twitter.com/pmg)

Shellshock-Logo (Quelle: Paul M. Gerhardt / twitter.com/pmg)

Die Bourne-again shell (Bash) ist unsicher: Die Standard-Kommandozeile fast aller Betriebssysteme auf Basis von BSD, Linux und Unix (darunter auch OS X von Apple) ermöglicht es Angreifern, beliebigen Schadcode auf Webservern auszuführen. Auch Hardware wie Router, Kameras oder NAS-Systeme sind durch die Lücke gefährdet. Entdeckt hat sie der Entwickler Stephane Chazelas.

Die Schweizer IT-Sicherheitsfirma Scip findet die Lücke mindestens so schwerwiegend wie Heartbleed. Auch der IT-Experte Robert Graham spricht von einem Bash bug as big as Heartbleed.

I think I was wrong saying #shellshock was as big as #heartbleed. It's bigger.

— Robert Graham (@ErrataRob) 25. September 2014

Betroffen sei eine Funktion der Komponente Environment Variable Handler, erklärt Scip. Ein Exploit für die Schwachstelle sei bereits bekannt. Die Lücke gefährde zudem Software wie SSH, OpenSSH, DHCP, CUPS, Sudo, Git oder CVS. Viele IT-Admins und Entwickler arbeiten täglich mit diesen Tools. Auch Shell-Skripte für Webserver (CGI) seien betroffen, schreibt Scip weiter. Und Red Hat weist darauf hin, dass auch Programmiersprachen wie PHP und Python gefährdet sein können.

Ob ein System verwundbar ist, kann laut heise.de mit folgendem Kommando geprüft werden:

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Antwortet die Shell mit "vulnerable", ist das System gefährdet. Die Schwachstelle lässt sich durch das Einspielen eines Patches beseitigen. Linux-Distributionen wie Ubuntu, Red Hat, Debian und Opensuse haben bereits mit Updates reagiert. Ein Patch für OS X lässt noch auf sich warten.