Shellshock und kein Ende: Weitere Lücken entdeckt

29. September 2014, 09:46
52 Postings

Gesteigertes Interesse an Unix-Shell zeigt Wirkung - Updates werden bereits verteilt

Ähnlich wie das Auftauchen der Heartbleed-Lücke verschafft nun auch der Shellshock der betroffenen Software neue Aufmerksamkeit. Und dies führt zunächst einmal vor allem zu einem: Zum Auftauchen weiterer Lücken.

Unklarheiten

So wurden mittlerweile drei neue Sicherheitsprobleme in der Unix-Shell Bash aufgespürt: Zwei davon (CVE-2014-7186 und CVE-2014-7187) wurden bereits am Freitag von Red Hat geschlossen und könnten theoretisch für Denial-of-Service-Attacken gegen die Anwendung genutzt werden, und in Folge einen Absturz derselben auslösen. Unklar ist dabei, ob Angreifern infolge des Crashs auch weitere Aktionen - wie etwa das Einschmuggeln von Code - möglich sind.

Gefährdung

Deutlich gefährlicher schätzt Google-Sicherheitsexperte Michal Zalewski CVE-2014-6277 ein. Die von ihm entdeckte Lücke sein nämlich "mit ziemlicher Sicherheit" von außen ausnutzbar. Über die Nutzung von Address Space Layout Randomization (ASLR) beim Kompilieren der Anwendung würde sich die Ausnutzung des Bugs zwar unterbinden lassen, allerdings werde diese Methode für die Bash nur selten genutzt.

Updates

All diese Fehler werden mit neuem neuen Patchset für die Bash beseitigt, das seit Samstag verteilt wird. Diverse Linux-Distributionen haben bereits mit der Auslieferung von Update begonnen, darunter etwa Fedora und Ubuntu. Neben Linux und zahlreichen Unix-Varianten ist auch Apples OS X betroffen. Das Unternehmen hat zwar bereits Updates versprochen, bislang stehen diese aber noch nicht zur Verfügung. Statt dessen verweist das Unternehmen darauf, dass der überwiegende Teil der eigenen Nutzer nicht gefährdet sei, da im Default-Install die "Advanced Unix Services", die die Bash mit sich bringen, nicht aktiviert sind. (apo, derStandard.at, 29.9.2014)

Share if you care.