Abo
  • Services:
Anzeige
Die Bash-Shell ist die Standard-Kommandozeile unter Linux und Mac OS X.
Die Bash-Shell ist die Standard-Kommandozeile unter Linux und Mac OS X. (Bild: Hanno Böck)

Linux-Shell: Bash-Sicherheitslücke ermöglicht Codeausführung auf Servern

Die Bash-Shell ist die Standard-Kommandozeile unter Linux und Mac OS X.
Die Bash-Shell ist die Standard-Kommandozeile unter Linux und Mac OS X. (Bild: Hanno Böck)

Eine Sicherheitslücke in der Linux-Shell Bash hat gravierende Auswirkungen. In vielen Fällen lässt sich damit von Angreifern Code auf Servern auch aus der Ferne ausführen.

In der Linux-Shell Bash wurde eine große Sicherheitslücke entdeckt. In Umgebungsvariablen lässt sich Code einfügen, den die Shell beim Starten ungeprüft ausführt. Das eröffnet zahlreiche Angriffsvektoren, am kritischsten ist die Lücke für Webskripte, die mittels CGI ausgeführt werden. Bash ist die am häufigsten genutzte Kommandozeilen-Shell unter Linux.

Anzeige

Das Problem wurde von Stephane Chazelas entdeckt und zunächst an die Entwickler der Debian-Distribution gemeldet. Geplant war für den 24. September eine koordinierte Veröffentlichung der Details. Offenbar wurde die Sperrfrist zwar eingehalten, einige Details, die erst später veröffentlicht wurden, wurden jedoch vorzeitig bekannt.

Bash ermöglicht es, mittels Umgebungsvariablen Funktionen zu definieren. Der Name der Umgebungsvariable dient dabei als Funktionsname, der Inhalt wird ausgeführt. Ein simples Beispiel hierfür wäre folgendes:

x="() { echo Hello; }" bash -c "x"

In diesem Fall wird eine Funktion x definiert, die die Zeichenkette "Hello" ausgibt. Das Problem: Wenn Bash eine solche Funktionsvariable entdeckt, parst es die komplette Variable und führt Code, der sich hinter dem Funktionsaufruf befindet, direkt aus. Testen lässt sich dies mit folgendem Beispiel:

test="() { echo Hello; }; echo gehackt" bash -c ""

Bei einer verwundbaren Bash-Version wird hier der String "gehackt" ausgegeben obwohl die Bash-Shell eigentlich überhaupt nichts ausführen soll. Das Problem hierbei: In vielen Fällen hat ein Angreifer die Möglichkeit, den Inhalt von Umgebungsvariablen zu kontrollieren.

Besonders kritisch sind hierbei CGI-Skripte auf Webservern. Denn hier werden beispielsweise Parameter oder Pfade der Webanwendung mittels Umgebungsvariablen übergeben. CGI-Skripte, die in Bash geschrieben sind, lassen sich damit direkt angreifen. Aber auch andere Programmiersprachen können Probleme bekommen. Wie in einem Blogeintrag von Redhat erläutert wird, führen zahlreiche Programmiersprachen implizit eine Bash-Shell aus, wenn man einen Systembefehl ausführt. Das betrifft in PHP etwa die Befehle system() und exec(), in C die Befehle system() und popen() und in Python die Befehle os.system() und os.popen().

Ein weiterer möglicher Angriffsvektor ist OpenSSH. Oftmals wird SSH so genutzt, dass ein Nutzer keine vollwertige Shell auf einem Server hat, sondern nur bestimmte Befehle ausführen darf. Diese Möglichkeit nutzen beispielsweise die Quellcode-Verwaltungstools Git und CVS. OpenSSH ruft hierbei ebenfalls implizit eine Shell auf, der Client kann verschiedene Variableninhalte beeinflussen.

OpenSSH und CGI-Skripte sind nur zwei mögliche Angriffsvektoren, verschiedene weitere Szenarien sind denkbar. Ein Update ist somit insbesondere Serveradministratoren, aber auch allen anderen Nutzern von Linux und anderen Unix-Systemen mit Bash dringend anzuraten. Für die aktuelle Bash-Version 4.3 steht der Patch 025 bereit, für Bash 4.2 der Patch 048. Betroffen ist neben Linux auch Mac OS X, welches ebenfalls Bash als Standardshell einsetzt. Das Problem hat die ID CVE-2014-6271 erhalten.

Nachtrag vom 25. September 2014, 12:34 Uhr

Der Google-Entwickler Tavis Ormandy hat entdeckt, dass die Korrektur für die Lücke unvollständig ist. Zwar lässt sich Ormandys Beispielcode nicht direkt für Angriffe nutzen, trotzdem wird wohl ein weiteres Bash-Update notwendig. Die neue Sicherheitslücke hat die ID CVE-2014-7169 erhalten.


eye home zur Startseite
neocron 26. Sep 2014

kann ich aus meiner Erfahrung nicht so sagen. Bei jedem Apple Artikel, kommen erstmal 5...

katzenpisse 26. Sep 2014

Indem er eine dynamische Webseite aufruft, die per Bashskript generiert wird. Ansonsten...

phade 26. Sep 2014

Ah, erst der zweite, wohl noch inoffizielle Patch unter http://www.openwall.com/lists/oss...

mambokurt 25. Sep 2014

Na damit hast du echt den Vogel abgeschossen, die Aussage zeigt entweder dass du dich...

__destruct() 25. Sep 2014

Und wie soll dann überhaupt ein Kommando, das Leerzeichen beinhaltet, ausgeführt werden...



Anzeige

Stellenmarkt
  1. Bosch Service Solutions Magdeburg GmbH, Berlin
  2. Debeka-Gruppe, Koblenz
  3. PHOENIX group IT GmbH, Fürth
  4. Springer Nature, Berlin


Anzeige
Spiele-Angebote
  1. 5,99€
  2. ab 129,99€
  3. (-75%) 6,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Datenschutz

    US-Provider dürfen private Nutzerdaten ungefragt verkaufen

  2. DVB-T2

    Freenet TV gibt es auch als monatliches Abo

  3. Betrugsnetzwerk

    Kinox.to-Nutzern Abofallen andrehen

  4. Innogy

    Energieversorger macht Elektroautos und Hybride zur Pflicht

  5. Patentantrag

    Apple will iPhone ins Macbook stecken

  6. Prozessor

    Lightroom CC 6.9 exportiert deutlich schneller

  7. Telia

    Schwedischer ISP muss Nutzerdaten herausgeben

  8. Nokia

    Deutlich höhere Datenraten durch LTE 900 möglich

  9. Messenger

    Facebook sagt "Daumen runter"

  10. Wirtschaftsministerin

    Huawei wird in Bayern Netzwerkausrüstung herstellen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mobile-Games-Auslese: Würfelkrieger und Kartendiebe für mobile Spieler
Mobile-Games-Auslese
Würfelkrieger und Kartendiebe für mobile Spieler

Live-Linux: Knoppix 8.0 bringt moderne Technik für neue Hardware
Live-Linux
Knoppix 8.0 bringt moderne Technik für neue Hardware

Videostreaming im Zug: Maxdome umwirbt Bahnfahrer bei Tempo 230
Videostreaming im Zug
Maxdome umwirbt Bahnfahrer bei Tempo 230
  1. USA Google will Kabelfernsehen über Youtube streamen
  2. Verband DVD-Verleih in Deutschland geht wegen Netflix zurück
  3. Nintendo Vorerst keine Videostreaming-Apps auf Switch

  1. Re: Verstehe das Genörgel nicht

    ZuWortMelder | 11:06

  2. Re: 1&1 nicht zu empfehlen

    Ratamahatta | 11:05

  3. Re: Gab's doch schon! - Asus Padfone

    david_rieger | 11:05

  4. Re: Drittanbietersperre und evtl. Sperr-APN

    rldml | 11:04

  5. Re: na - do hol ich mir doch einen P1 ;-)

    Luke321 | 11:01


  1. 11:22

  2. 09:32

  3. 08:31

  4. 07:22

  5. 07:11

  6. 18:26

  7. 18:18

  8. 18:08


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel