Abo
  • Services:
Anzeige
Die Bash-Shell ist die Standard-Kommandozeile unter Linux und Mac OS X.
Die Bash-Shell ist die Standard-Kommandozeile unter Linux und Mac OS X. (Bild: Hanno Böck)

Linux-Shell: Bash-Sicherheitslücke ermöglicht Codeausführung auf Servern

Die Bash-Shell ist die Standard-Kommandozeile unter Linux und Mac OS X.
Die Bash-Shell ist die Standard-Kommandozeile unter Linux und Mac OS X. (Bild: Hanno Böck)

Eine Sicherheitslücke in der Linux-Shell Bash hat gravierende Auswirkungen. In vielen Fällen lässt sich damit von Angreifern Code auf Servern auch aus der Ferne ausführen.

In der Linux-Shell Bash wurde eine große Sicherheitslücke entdeckt. In Umgebungsvariablen lässt sich Code einfügen, den die Shell beim Starten ungeprüft ausführt. Das eröffnet zahlreiche Angriffsvektoren, am kritischsten ist die Lücke für Webskripte, die mittels CGI ausgeführt werden. Bash ist die am häufigsten genutzte Kommandozeilen-Shell unter Linux.

Anzeige

Das Problem wurde von Stephane Chazelas entdeckt und zunächst an die Entwickler der Debian-Distribution gemeldet. Geplant war für den 24. September eine koordinierte Veröffentlichung der Details. Offenbar wurde die Sperrfrist zwar eingehalten, einige Details, die erst später veröffentlicht wurden, wurden jedoch vorzeitig bekannt.

Bash ermöglicht es, mittels Umgebungsvariablen Funktionen zu definieren. Der Name der Umgebungsvariable dient dabei als Funktionsname, der Inhalt wird ausgeführt. Ein simples Beispiel hierfür wäre folgendes:

x="() { echo Hello; }" bash -c "x"

In diesem Fall wird eine Funktion x definiert, die die Zeichenkette "Hello" ausgibt. Das Problem: Wenn Bash eine solche Funktionsvariable entdeckt, parst es die komplette Variable und führt Code, der sich hinter dem Funktionsaufruf befindet, direkt aus. Testen lässt sich dies mit folgendem Beispiel:

test="() { echo Hello; }; echo gehackt" bash -c ""

Bei einer verwundbaren Bash-Version wird hier der String "gehackt" ausgegeben obwohl die Bash-Shell eigentlich überhaupt nichts ausführen soll. Das Problem hierbei: In vielen Fällen hat ein Angreifer die Möglichkeit, den Inhalt von Umgebungsvariablen zu kontrollieren.

Besonders kritisch sind hierbei CGI-Skripte auf Webservern. Denn hier werden beispielsweise Parameter oder Pfade der Webanwendung mittels Umgebungsvariablen übergeben. CGI-Skripte, die in Bash geschrieben sind, lassen sich damit direkt angreifen. Aber auch andere Programmiersprachen können Probleme bekommen. Wie in einem Blogeintrag von Redhat erläutert wird, führen zahlreiche Programmiersprachen implizit eine Bash-Shell aus, wenn man einen Systembefehl ausführt. Das betrifft in PHP etwa die Befehle system() und exec(), in C die Befehle system() und popen() und in Python die Befehle os.system() und os.popen().

Ein weiterer möglicher Angriffsvektor ist OpenSSH. Oftmals wird SSH so genutzt, dass ein Nutzer keine vollwertige Shell auf einem Server hat, sondern nur bestimmte Befehle ausführen darf. Diese Möglichkeit nutzen beispielsweise die Quellcode-Verwaltungstools Git und CVS. OpenSSH ruft hierbei ebenfalls implizit eine Shell auf, der Client kann verschiedene Variableninhalte beeinflussen.

OpenSSH und CGI-Skripte sind nur zwei mögliche Angriffsvektoren, verschiedene weitere Szenarien sind denkbar. Ein Update ist somit insbesondere Serveradministratoren, aber auch allen anderen Nutzern von Linux und anderen Unix-Systemen mit Bash dringend anzuraten. Für die aktuelle Bash-Version 4.3 steht der Patch 025 bereit, für Bash 4.2 der Patch 048. Betroffen ist neben Linux auch Mac OS X, welches ebenfalls Bash als Standardshell einsetzt. Das Problem hat die ID CVE-2014-6271 erhalten.

Nachtrag vom 25. September 2014, 12:34 Uhr

Der Google-Entwickler Tavis Ormandy hat entdeckt, dass die Korrektur für die Lücke unvollständig ist. Zwar lässt sich Ormandys Beispielcode nicht direkt für Angriffe nutzen, trotzdem wird wohl ein weiteres Bash-Update notwendig. Die neue Sicherheitslücke hat die ID CVE-2014-7169 erhalten.


eye home zur Startseite
neocron 26. Sep 2014

kann ich aus meiner Erfahrung nicht so sagen. Bei jedem Apple Artikel, kommen erstmal 5...

katzenpisse 26. Sep 2014

Indem er eine dynamische Webseite aufruft, die per Bashskript generiert wird. Ansonsten...

phade 26. Sep 2014

Ah, erst der zweite, wohl noch inoffizielle Patch unter http://www.openwall.com/lists/oss...

mambokurt 25. Sep 2014

Na damit hast du echt den Vogel abgeschossen, die Aussage zeigt entweder dass du dich...

__destruct() 25. Sep 2014

Und wie soll dann überhaupt ein Kommando, das Leerzeichen beinhaltet, ausgeführt werden...



Anzeige

Stellenmarkt
  1. spectrumK GmbH, Berlin
  2. Lidl Dienstleistung GmbH & Co. KG, Neckarsulm
  3. Der Polizeipräsident in Berlin, Berlin
  4. Robert Bosch GmbH, Stuttgart-Feuerbach


Anzeige
Blu-ray-Angebote

Folgen Sie uns
       


  1. HHVM

    Facebook konzentriert sich künftig auf Hack statt PHP

  2. EU-Datenschutzreform

    Bitkom warnt Firmen vor Millionen-Bußgeldern

  3. Keybase Teams

    Opensource-Teamchat verschlüsselt Gesprächsverläufe

  4. Elektromobilität

    In Norwegen fehlen Ladesäulen

  5. Metroid Samus Returns im Kurztest

    Rückkehr der gelenkigen Kopfgeldjägerin

  6. Encrypted Media Extensions

    Web-DRM ist ein Standard für Nutzer

  7. TP Link Archer CR700v

    Einziger AVM-Konkurrent bei Kabelroutern gibt auf

  8. Sparc M8

    Oracles neuer Chip ist 40 Prozent schneller

  9. Cloud

    IBM bringt die Datenmigration im 120-Terabyte-Koffer

  10. Fire HD 10

    Amazon bringt 10-Zoll-Full-HD-Tablet mit Alexa für 160 Euro



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Inspiron 5675 im Test: Dells Ryzen-Gaming-PC reicht mindestens bis 2020
Inspiron 5675 im Test
Dells Ryzen-Gaming-PC reicht mindestens bis 2020
  1. Android 8.0 im Test Fertig oder nicht fertig, das ist hier die Frage
  2. Logitech Powerplay im Test Die niemals leere Funk-Maus
  3. Polar vs. Fitbit Duell der Schlafexperten

Mini-Smartphone Jelly im Test: Winzig, gewöhnungsbedürftig, nutzbar
Mini-Smartphone Jelly im Test
Winzig, gewöhnungsbedürftig, nutzbar
  1. Leia RED verrät Details zum Holo-Display seines Smartphones
  2. Smartphones Absatz in Deutschland stagniert, Umsatz steigt leicht
  3. Wavy Klarna-App bietet kostenlose Überweisungen zwischen Freunden

Energieversorgung: Windparks sind schlechter gesichert als E-Mail-Konten
Energieversorgung
Windparks sind schlechter gesichert als E-Mail-Konten
  1. Apache Struts Monate alte Sicherheitslücke führte zu Equifax-Hack
  2. Kreditrating Equifax' Krisenreaktion ist ein Desaster
  3. Best Buy US-Handelskette verbannt Kaspersky-Software aus Regalen

  1. Re: Patch? Sorry, aber das ist ein simples...

    ldlx | 17:37

  2. Re: Fire HD 10: Ganz schön teuer

    iKnow23 | 17:34

  3. Packt bloß nicht das Teaserbild in die...

    the_second | 17:33

  4. Re: Die Idee dahinter ist die Unfähigkeit...

    bolzen | 17:32

  5. Re: ob sich wirklich jemand 1200¤...

    Bruce Wayne | 17:31


  1. 17:01

  2. 16:46

  3. 16:41

  4. 16:28

  5. 16:11

  6. 16:02

  7. 15:50

  8. 15:21


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel