Ein Sicherheitsleck bedroht Linux-Systeme: Der "ShellShock" getaufte Bug betrifft nach Angaben des Fach-Portals heise online einen Großteil aller Unix-Systemen, inklusive der Mehrheit aller Linux-Distributionen und BSD-Varianten. Auch Apple's Mac OS sei betroffen, heißt es in der Meldung.
Der Bug wurde von dem französischen Entwickler Stéphane Chazelas in der Unix-Shell "Bash" (Bourne-again shell) entdeckt, über die Befehle eingegeben werden können. Die Shell wird von den meisten Systemen standardmäßig genutzt. Angreifer können sich über einen Netzwerk-Zugang von außen Zugriff verschaffen und Schadcode ausführen. Die verschiedenen Angriffsszenarien beschreibt der Linux-Distributor Red Hat in einem Blog-Artikel.
Red Hat hat zusätzlich eine Methode vorgestellt, mit der geprüft werden kann, ob das eigene System angreifbar ist. Gibt Shell die Meldung "vulnerable" aus, nachdem die Code-Zeile
env x='() ; echo vulnerable' bash -c "echo this is a test"
im Bash ausgeführt wurde, ist das System verwundbar.
Inzwischen stehen für mehrere Systeme Patches bereit:
- Red Hat Enterprise Linux (Version 4 bis 7) und die Fedora Distribution
- CentOS (Version 5 bis 7)
- Ubuntu 10.04 LTS, 12.04 LTS und 14.04 LTS
- Debian
- SuSE Linux Enterprise 10+11
InterNetX hat die Lücken auf seinen Managed Systemen umgehend geschlossen. Ebenso auf allen Servern, die den Managed Service von InterNetX in Anspruch nehmen. Allen Betreibern von Dedicated Servern wird dringend geraten, die Patches schnellstmöglich zu installieren.
Immerhin für den Entdecker des Fehlers dürfte die Situation ein Gutes haben: Laut dem Fachblatt Computerworld habe Chazelas auf seiner Website angegeben, auf Arbeitssuche zu sein – inzwischen ist der Eintrag überarbeitet.
