Abo
  • Services:
Anzeige
Die Bash-Shell ist die Standard-Kommandozeile unter Linux und Mac OS X.
Die Bash-Shell ist die Standard-Kommandozeile unter Linux und Mac OS X. (Bild: Hanno Böck)

Linux-Shell: Bash-Sicherheitslücke ermöglicht Codeausführung auf Servern

Die Bash-Shell ist die Standard-Kommandozeile unter Linux und Mac OS X.
Die Bash-Shell ist die Standard-Kommandozeile unter Linux und Mac OS X. (Bild: Hanno Böck)

Eine Sicherheitslücke in der Linux-Shell Bash hat gravierende Auswirkungen. In vielen Fällen lässt sich damit von Angreifern Code auf Servern auch aus der Ferne ausführen.

In der Linux-Shell Bash wurde eine große Sicherheitslücke entdeckt. In Umgebungsvariablen lässt sich Code einfügen, den die Shell beim Starten ungeprüft ausführt. Das eröffnet zahlreiche Angriffsvektoren, am kritischsten ist die Lücke für Webskripte, die mittels CGI ausgeführt werden. Bash ist die am häufigsten genutzte Kommandozeilen-Shell unter Linux.

Anzeige

Das Problem wurde von Stephane Chazelas entdeckt und zunächst an die Entwickler der Debian-Distribution gemeldet. Geplant war für den 24. September eine koordinierte Veröffentlichung der Details. Offenbar wurde die Sperrfrist zwar eingehalten, einige Details, die erst später veröffentlicht wurden, wurden jedoch vorzeitig bekannt.

Bash ermöglicht es, mittels Umgebungsvariablen Funktionen zu definieren. Der Name der Umgebungsvariable dient dabei als Funktionsname, der Inhalt wird ausgeführt. Ein simples Beispiel hierfür wäre folgendes:

x="() { echo Hello; }" bash -c "x"

In diesem Fall wird eine Funktion x definiert, die die Zeichenkette "Hello" ausgibt. Das Problem: Wenn Bash eine solche Funktionsvariable entdeckt, parst es die komplette Variable und führt Code, der sich hinter dem Funktionsaufruf befindet, direkt aus. Testen lässt sich dies mit folgendem Beispiel:

test="() { echo Hello; }; echo gehackt" bash -c ""

Bei einer verwundbaren Bash-Version wird hier der String "gehackt" ausgegeben obwohl die Bash-Shell eigentlich überhaupt nichts ausführen soll. Das Problem hierbei: In vielen Fällen hat ein Angreifer die Möglichkeit, den Inhalt von Umgebungsvariablen zu kontrollieren.

Besonders kritisch sind hierbei CGI-Skripte auf Webservern. Denn hier werden beispielsweise Parameter oder Pfade der Webanwendung mittels Umgebungsvariablen übergeben. CGI-Skripte, die in Bash geschrieben sind, lassen sich damit direkt angreifen. Aber auch andere Programmiersprachen können Probleme bekommen. Wie in einem Blogeintrag von Redhat erläutert wird, führen zahlreiche Programmiersprachen implizit eine Bash-Shell aus, wenn man einen Systembefehl ausführt. Das betrifft in PHP etwa die Befehle system() und exec(), in C die Befehle system() und popen() und in Python die Befehle os.system() und os.popen().

Ein weiterer möglicher Angriffsvektor ist OpenSSH. Oftmals wird SSH so genutzt, dass ein Nutzer keine vollwertige Shell auf einem Server hat, sondern nur bestimmte Befehle ausführen darf. Diese Möglichkeit nutzen beispielsweise die Quellcode-Verwaltungstools Git und CVS. OpenSSH ruft hierbei ebenfalls implizit eine Shell auf, der Client kann verschiedene Variableninhalte beeinflussen.

OpenSSH und CGI-Skripte sind nur zwei mögliche Angriffsvektoren, verschiedene weitere Szenarien sind denkbar. Ein Update ist somit insbesondere Serveradministratoren, aber auch allen anderen Nutzern von Linux und anderen Unix-Systemen mit Bash dringend anzuraten. Für die aktuelle Bash-Version 4.3 steht der Patch 025 bereit, für Bash 4.2 der Patch 048. Betroffen ist neben Linux auch Mac OS X, welches ebenfalls Bash als Standardshell einsetzt. Das Problem hat die ID CVE-2014-6271 erhalten.

Nachtrag vom 25. September 2014, 12:34 Uhr

Der Google-Entwickler Tavis Ormandy hat entdeckt, dass die Korrektur für die Lücke unvollständig ist. Zwar lässt sich Ormandys Beispielcode nicht direkt für Angriffe nutzen, trotzdem wird wohl ein weiteres Bash-Update notwendig. Die neue Sicherheitslücke hat die ID CVE-2014-7169 erhalten.


eye home zur Startseite
neocron 26. Sep 2014

kann ich aus meiner Erfahrung nicht so sagen. Bei jedem Apple Artikel, kommen erstmal 5...

katzenpisse 26. Sep 2014

Indem er eine dynamische Webseite aufruft, die per Bashskript generiert wird. Ansonsten...

phade 26. Sep 2014

Ah, erst der zweite, wohl noch inoffizielle Patch unter http://www.openwall.com/lists/oss...

mambokurt 25. Sep 2014

Na damit hast du echt den Vogel abgeschossen, die Aussage zeigt entweder dass du dich...

__destruct() 25. Sep 2014

Und wie soll dann überhaupt ein Kommando, das Leerzeichen beinhaltet, ausgeführt werden...



Anzeige

Stellenmarkt
  1. Daimler AG, Kirchheim
  2. ROHDE & SCHWARZ GmbH & Co. KG, München
  3. über Robert Half Technology, Frankfurt am Main
  4. Daimler AG, Leinfelden-Echterdingen


Anzeige
Blu-ray-Angebote
  1. 24,99€ (Vorbesteller-Preisgarantie)
  2. 139,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitskonzeption für das App-getriebene Geschäft
  2. Mehr dazu im aktuellen Whitepaper von Freudenberg IT
  3. Tipps für IT-Engagement in Fernost


  1. Sync 3

    Ford bringt Carplay und Android Auto in alle 2017er-Modelle

  2. Netzwerk

    Mehrere regionale Mobilfunkausfälle bei Vodafone

  3. Hello Games

    No Man's Sky braucht kein Plus und keine Superformel

  4. Master Key

    Hacker gelangen per Reverse Engineering an Gepäckschlüssel

  5. 3D-Druck

    Polizei will Smartphone mit nachgemachtem Finger entsperren

  6. Modesetting

    Debian und Ubuntu verzichten auf Intels X11-Treiber

  7. Elementary OS Loki im Test

    Hübsch und einfach kann auch kompliziert sein

  8. Mobilfunkausrüster

    Ericsson feuert seinen Konzernchef

  9. Neuer Algorithmus

    Google verkleinert App-Downloads aus dem Play Store

  10. Brennstoffzelle

    Hazer will Wasserstoff günstiger machen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Core i7-6820HK: Das bringt CPU-Overclocking im Notebook
Core i7-6820HK
Das bringt CPU-Overclocking im Notebook
  1. Stresstest Futuremarks 3DMark testet Hardware auf Throttling

Digitalisierung: Darf ich am Sabbat mit meinem Lautsprecher reden?
Digitalisierung
Darf ich am Sabbat mit meinem Lautsprecher reden?
  1. Smart City Der Bürger gestaltet mit
  2. Internetwirtschaft Das ist so was von 2006
  3. Das Internet der Menschen "Industrie 4.0 verbannt Menschen nicht aus Werkhallen"

Edward Snowden: Spezialhülle fürs iPhone warnt vor ungewollter Funkaktivität
Edward Snowden
Spezialhülle fürs iPhone warnt vor ungewollter Funkaktivität
  1. Qualcomm-Chips Android-Geräteverschlüsselung ist angreifbar
  2. Apple Nächstes iPhone soll keine Klinkenbuchse haben
  3. Smarte Hülle Android unter dem iPhone

  1. Re: Lieber mal das Darknet verbieten

    C00k1e | 17:56

  2. Re: Killer-Spiele sind der Katalysator

    Danijoo | 17:54

  3. Re: Wieso lässt sich das Aussehen von Linux nich...

    David64Bit | 17:54

  4. Keine Auswirkungen für Europa

    Majin23 | 17:53

  5. Re: habe mich schon gewundert

    mr_tux | 17:52


  1. 17:31

  2. 17:19

  3. 15:58

  4. 15:15

  5. 14:56

  6. 12:32

  7. 12:05

  8. 12:04


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel