Abo
  • Services:
Anzeige
Die Bash-Shell ist die Standard-Kommandozeile unter Linux und Mac OS X.
Die Bash-Shell ist die Standard-Kommandozeile unter Linux und Mac OS X. (Bild: Hanno Böck)

Linux-Shell: Bash-Sicherheitslücke ermöglicht Codeausführung auf Servern

Die Bash-Shell ist die Standard-Kommandozeile unter Linux und Mac OS X.
Die Bash-Shell ist die Standard-Kommandozeile unter Linux und Mac OS X. (Bild: Hanno Böck)

Eine Sicherheitslücke in der Linux-Shell Bash hat gravierende Auswirkungen. In vielen Fällen lässt sich damit von Angreifern Code auf Servern auch aus der Ferne ausführen.

In der Linux-Shell Bash wurde eine große Sicherheitslücke entdeckt. In Umgebungsvariablen lässt sich Code einfügen, den die Shell beim Starten ungeprüft ausführt. Das eröffnet zahlreiche Angriffsvektoren, am kritischsten ist die Lücke für Webskripte, die mittels CGI ausgeführt werden. Bash ist die am häufigsten genutzte Kommandozeilen-Shell unter Linux.

Anzeige

Das Problem wurde von Stephane Chazelas entdeckt und zunächst an die Entwickler der Debian-Distribution gemeldet. Geplant war für den 24. September eine koordinierte Veröffentlichung der Details. Offenbar wurde die Sperrfrist zwar eingehalten, einige Details, die erst später veröffentlicht wurden, wurden jedoch vorzeitig bekannt.

Bash ermöglicht es, mittels Umgebungsvariablen Funktionen zu definieren. Der Name der Umgebungsvariable dient dabei als Funktionsname, der Inhalt wird ausgeführt. Ein simples Beispiel hierfür wäre folgendes:

x="() { echo Hello; }" bash -c "x"

In diesem Fall wird eine Funktion x definiert, die die Zeichenkette "Hello" ausgibt. Das Problem: Wenn Bash eine solche Funktionsvariable entdeckt, parst es die komplette Variable und führt Code, der sich hinter dem Funktionsaufruf befindet, direkt aus. Testen lässt sich dies mit folgendem Beispiel:

test="() { echo Hello; }; echo gehackt" bash -c ""

Bei einer verwundbaren Bash-Version wird hier der String "gehackt" ausgegeben obwohl die Bash-Shell eigentlich überhaupt nichts ausführen soll. Das Problem hierbei: In vielen Fällen hat ein Angreifer die Möglichkeit, den Inhalt von Umgebungsvariablen zu kontrollieren.

Besonders kritisch sind hierbei CGI-Skripte auf Webservern. Denn hier werden beispielsweise Parameter oder Pfade der Webanwendung mittels Umgebungsvariablen übergeben. CGI-Skripte, die in Bash geschrieben sind, lassen sich damit direkt angreifen. Aber auch andere Programmiersprachen können Probleme bekommen. Wie in einem Blogeintrag von Redhat erläutert wird, führen zahlreiche Programmiersprachen implizit eine Bash-Shell aus, wenn man einen Systembefehl ausführt. Das betrifft in PHP etwa die Befehle system() und exec(), in C die Befehle system() und popen() und in Python die Befehle os.system() und os.popen().

Ein weiterer möglicher Angriffsvektor ist OpenSSH. Oftmals wird SSH so genutzt, dass ein Nutzer keine vollwertige Shell auf einem Server hat, sondern nur bestimmte Befehle ausführen darf. Diese Möglichkeit nutzen beispielsweise die Quellcode-Verwaltungstools Git und CVS. OpenSSH ruft hierbei ebenfalls implizit eine Shell auf, der Client kann verschiedene Variableninhalte beeinflussen.

OpenSSH und CGI-Skripte sind nur zwei mögliche Angriffsvektoren, verschiedene weitere Szenarien sind denkbar. Ein Update ist somit insbesondere Serveradministratoren, aber auch allen anderen Nutzern von Linux und anderen Unix-Systemen mit Bash dringend anzuraten. Für die aktuelle Bash-Version 4.3 steht der Patch 025 bereit, für Bash 4.2 der Patch 048. Betroffen ist neben Linux auch Mac OS X, welches ebenfalls Bash als Standardshell einsetzt. Das Problem hat die ID CVE-2014-6271 erhalten.

Nachtrag vom 25. September 2014, 12:34 Uhr

Der Google-Entwickler Tavis Ormandy hat entdeckt, dass die Korrektur für die Lücke unvollständig ist. Zwar lässt sich Ormandys Beispielcode nicht direkt für Angriffe nutzen, trotzdem wird wohl ein weiteres Bash-Update notwendig. Die neue Sicherheitslücke hat die ID CVE-2014-7169 erhalten.


eye home zur Startseite
neocron 26. Sep 2014

kann ich aus meiner Erfahrung nicht so sagen. Bei jedem Apple Artikel, kommen erstmal 5...

katzenpisse 26. Sep 2014

Indem er eine dynamische Webseite aufruft, die per Bashskript generiert wird. Ansonsten...

phade 26. Sep 2014

Ah, erst der zweite, wohl noch inoffizielle Patch unter http://www.openwall.com/lists/oss...

mambokurt 25. Sep 2014

Na damit hast du echt den Vogel abgeschossen, die Aussage zeigt entweder dass du dich...

__destruct() 25. Sep 2014

Und wie soll dann überhaupt ein Kommando, das Leerzeichen beinhaltet, ausgeführt werden...



Anzeige

Stellenmarkt
  1. WESTPRESS GmbH & Co. KG Werbeagentur, Hamm
  2. united-domains AG, Starnberg bei München
  3. Fraunhofer-Institut für Bildgestützte Medizin MEVIS | Bremen, Bremen
  4. IT-Servicezentrum der bayerischen Justiz, Schwabmünchen, Bamberg


Anzeige
Blu-ray-Angebote
  1. (u. a. Space Jam 11,97€, Ex Machina 9,97€, Game of Thrones 3. Staffel 24,97€)
  2. (u. a. Supernatural, True Blood, Into the West, Perry Mason, Mord ist ihr Hobby)
  3. 6,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Alternatives Betriebssystem

    Jolla will Sailfish OS auf Sony-Smartphones bringen

  2. Gamesbranche

    PC-Plattform ist bei Spielentwicklern am beliebtesten

  3. Digitale Assistenten

    Google und Amazon kämpfen um Vorherrschaft

  4. Xperia Touch im Hands on

    Projektor macht jeden Tisch Android-tauglich

  5. RetroPie

    Distribution hat keine Rechte mehr am eigenen Namen

  6. Nokia 3310 im Hands on

    Der Nokia-Knochen mit Hipsterpotenzial

  7. Auto

    Macchina M2 bietet Zugriff auf Fahrzeugelektronik

  8. Pro x2 G2

    HPs Surface-Konkurrent bekommt neue Hardware

  9. Security

    Bluetooth-Skimming an der Supermarktkasse

  10. Windows 10 Creators Update

    Optionale Einstellung erlaubt nur noch Apps aus dem Store



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Intel C2000: Weiter Unklarheit zur Häufung von NAS-Ausfällen
Intel C2000
Weiter Unklarheit zur Häufung von NAS-Ausfällen
  1. Super Bowl Lady Gaga singt unter einer Flagge aus Drohnen
  2. Lake Crest Intels Terminator-Chip mit Terabyte-Bandbreite
  3. Compute Card Intel plant Rechnermodul mit USB Type C

XPS 13 (9360) im Test: Wieder ein tolles Ultrabook von Dell
XPS 13 (9360) im Test
Wieder ein tolles Ultrabook von Dell
  1. Die Woche im Video Die Selbstzerstörungssequenz ist aktiviert
  2. XPS 13 Convertible im Hands on Dells 2-in-1 ist kompakter und kaum langsamer

Mechanische Tastatur Poker 3 im Test: "Kauf dir endlich Dämpfungsringe!"
Mechanische Tastatur Poker 3 im Test
"Kauf dir endlich Dämpfungsringe!"
  1. Patentantrag Apple denkt über Tastatur mit Siri-, Emoji- und Teilen-Taste nach
  2. MX Board Silent im Praxistest Der viel zu teure Feldversuch von Cherry
  3. Kanex Faltbare Bluetooth-Tastatur für mehrere Geräte gleichzeitig

  1. Newcomer?

    Serenity | 15:01

  2. Re: beliebt lukrativ

    windermeer | 15:01

  3. das sieht man sehr deutlich an den ....

    catdeelay | 15:00

  4. Hoffentlich nicht wieder so halbherzig wie das...

    IncredibleAlk | 15:00

  5. Re: Vorischt bei Air Berlin

    quineloe | 14:58


  1. 14:31

  2. 14:21

  3. 14:16

  4. 13:30

  5. 12:49

  6. 12:02

  7. 12:00

  8. 11:44


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel