Shellshock: Immer neue Lücken in der Bash-Shell

Shellshock650Kaum war die Bash-Sicherheitslücke veröffentlicht worden, wurde schon klar, dass das erste Sicherheitsupdate das Problem nicht ausreichend beseitigen würde.

Diese jüngste Sicherheitslücke in der  Bash-Shell ist nach Ansicht von Fachleuten ebenso dramatisch einzuschätzen wie der inzwischen bekannte Heartbleed-Bug. Siewird jetzt fast überall als Shellshock bezeichnet

Denn inzwischen wurden weitere Probleme im Funktionsparser von Bash gefunden. Google-Entwickler Michał Zalewski, auch unter seinem Nickname Lcamtuf bekannt, warnt jetzt sogar, dass noch weitere unbekannte Sicherheitslücken in der Linux-Shell drohen.

Ursache des Problems ist die Funktionalität von Bash, in beliebigen Variablen direkt Funktionen definieren zu können. Wie die Variable heißt, ist dabei egal. Der entdeckte Fehler erlaubt, dass hinter einer solchen Funktionsdefinition weiterer Code ohne Prüfung ausgeführt wird – auch dann, wenn diese Funktion gar nicht aufgerufen wird.

Das führt leider auch dazu, dass das Ausnutzen dieser Sicherheitslücke extrem einfach ist. Bei verwundbaren Webanwendungen würde dazu ein simpler Aufruf von Curl oder Wget mit geeigneten Parametern ausreichen.

Einen ausführlichen Bericht dazu finden Sie bei Heise.

Über Klaus

Ich beschäftige mich schon seit 40 Jahren mit dem Internet. Meine Schwerpunkte sind Seitenerstellung, Programmierung, Analysen, Recherchen und Texte (auch Übersetzungen aus dem Englischen oder Niederländischen), Fotografie und ganz besonders die sozialen Aspekte der "Brave New World" oder in Merkel-Neusprech des "Neulands".
Dieser Beitrag wurde unter Internet, Mobilgeräte, News, Programmierung, Sicherheit, Soziales abgelegt und mit , , , , , , , , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

1 Antwort zu Shellshock: Immer neue Lücken in der Bash-Shell

  1. Pingback: Shellshock: Alle Sicherheitslücken sind jetzt gepatcht | Klaus Ahrens: News, Tipps, Tricks und Fotos

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.