Skip to Main Content

Breadcrumb

ShellShock - Sicherheitslücke in der Bash

ShellShock Bild von Paul M. Gerhardt


ShellShock Logo, von Paul M. Gerhardt

Was ist ShellShock? (CVE-2014-6271)

ShellShock ist eine große Sicherheitslücke in der beliebten Linux/Unix Shell Bash. Es gibt aktuell mehrere Angriffswege um diese Sicherheitslücke auszunutzen - einige Beispiele sind:

  • CGI-Scripts auf WebServern wie mod_cgi, mod_cgid,...
  • Jeder Zugang, der eine Bash nutzen kann (Beispielsweise Java Applikationen mit Host Exit,...).
  • Auf Mac OS lässt sich sogar aus einer virtuellen Maschine unter VMware Fusion das Mac OS als root komprimittieren.
  • ICS- und SCADA Systeme von Industrieanlagen, da hier oft die Bash im Einsatz ist.
  • usw

Wie gefährlich ist diese Sicherheitslücke?

Das NIST - National Institute of Standards and Technology - hat diese Sicherheitslücke mit 10 (der höchsten möglichen Stufe) bewertet, da die Angriffe (via WebServer mit CGI) über das Web sehr einfach möglich sind!

Wie kann man feststellen ob die eigene Bash betroffen ist.

Dafür gibt es einen einfachen Test - wenn Sie die folgende Zeile auf der Bash ausführen und der Text "vulnerable" sichtbar wird, sind Sie betroffen.

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"


Was kann man tun um sich zu schützen?

Einige Linux Distributionen liefern inzwischen erste Patches, leider sind diese mit Stand Fr, 26. Sep 2014 nur teilweise hilfreich. Es gibt inzwischen bei NIST dafür eine zweite Meldung CVE-2014-7169, die ebenfalls mit der höchsten Stufe 10 bewertet wird.

Der einzige wirkliche Schutz, den Sie im Moment haben, sind WAF - Wep Application Firewalls - beispielsweise SecureSphere von Imperva. Obwohl Imperva selbst auf Linux basiert, ist die Lösung nicht von ShellShock betroffen. Imperva bietet für Kunden seit Donnerstag, 25. Sep 2014 eine Anleitung, wie man sich mit Hilfe der WAF schützen kann. Weitere Informationen von Seiten Imperva zu Shellshock finden Sie http://www.imperva.com/services/adc_advisories_response_shellshock_CVE_2014_6271.