Nach Heartbleed kommt Bashbleed
Eine Sicherheitslücke bedroht Betriebssysteme auf Basis von BSD, Linux und Unix - auch OS X von Apple. Angreifer können beliebigen Schadcode auf Webservern ausführen.
Die Bourne-again shell (Bash) ist unsicher: Die Standard-Kommandozeile fast aller Betriebssysteme auf Basis von BSD, Linux und Unix (darunter auch OS X von Apple) ermöglicht es Angreifern, beliebigen Schadcode auf Webservern auszuführen. Auch Hardware wie Router, Kameras oder NAS-Systeme sind durch die Lücke gefährdet. Entdeckt hat sie der Entwickler Stephane Chazelas.
Die Schweizer IT-Sicherheitsfirma Scip findet die Lücke mindestens so schwerwiegend wie Heartbleed. Auch der IT-Experte Robert Graham spricht von einem Bash bug as big as Heartbleed.
I think I was wrong saying #shellshock was as big as #heartbleed. It's bigger.
— Robert Graham (@ErrataRob) 25. September 2014
Betroffen sei eine Funktion der Komponente Environment Variable Handler, erklärt Scip. Ein Exploit für die Schwachstelle sei bereits bekannt. Die Lücke gefährde zudem Software wie SSH, OpenSSH, DHCP, CUPS, Sudo, Git oder CVS. Viele IT-Admins und Entwickler arbeiten täglich mit diesen Tools. Auch Shell-Skripte für Webserver (CGI) seien betroffen, schreibt Scip weiter. Und Red Hat weist darauf hin, dass auch Programmiersprachen wie PHP und Python gefährdet sein können.
Ob ein System verwundbar ist, kann laut heise.de mit folgendem Kommando geprüft werden:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
Antwortet die Shell mit "vulnerable", ist das System gefährdet. Die Schwachstelle lässt sich durch das Einspielen eines Patches beseitigen. Linux-Distributionen wie Ubuntu, Red Hat, Debian und Opensuse haben bereits mit Updates reagiert. Ein Patch für OS X lässt noch auf sich warten.
Betrüger verbreiten Malware über vermeintliche Zoom-Updates
Warum Cloud für KI zur Frage von Kontrolle und digitaler Souveränität wird
Die Industrialisierung des Betrugs: KI verändert die Finanzkriminalität
Am 1. Juli erscheinen die neue Netzwoche und das neue Finance 2030
Sygnum startet mit MiCAR-Lizenz in den EU-Markt
Welche Rolle KI in der nächsten Generation von ERP-Systemen spielt
SOWARIS setzt auf Schweizer Cloud: Virtual Datacenter als IT-Fundament
Crypto Assets: Die Evolution der Revolution.
Software für den Kreditmarkt: Vom Antrag bis zur Refinanzierung