Ihr werdet es wahrscheinlich eh schon mitbekommen haben, vorgestern wurde von einem französischen Sicherheitsexperten ein schwerwiegender Fehler in der bash (bourne again shell), der Kommandozeile von UNIX- und unixoiden Systemen, gefunden.
Durch diesen Fehler lässt sich in Umgebungsvariablen, das sind konfigurierbare Variablen im Betriebssystem, die meist Pfade zu Dateien oder Einstellungsdaten beinhalten, von außen (!) Code (!) einsetzen, der dann beim nächsten Start der Shell mit vollen Systemrechten ausgeführt werden kann.
Dieser Bug betrifft wie gesagt alle Systeme, auf denen die bash als Standardshell konfiguriert ist. Dazu zählen unter Anderem sämtliche Linux Systeme, aber auch OS X. Für die meisten Linux-Systeme gibt es bereits Patches, diese sind einfach durch ausführen der folgenden zwei Befehle zu installieren:
sudo apt-get update
sudo apt-get upgradeLeider gibt es für OS X von Apple noch keinen offiziellen Patch, ein inoffizieller Patch lässt sich nach folgender Anleitung installieren:Stackexchange Thread - klicken
Wie immer gilt bei Skripten aus dem Internet: :exclamation: VORSICHT! TUT NUR DAS, WO IHR WISST, WAS IHR TUT! :exclamation:
EDIT : Einen Patch von Apple gibt es mittlerweile:
Bash Update für Lion
Bash Update für MountainLion
Bash Update für Mavericks
Ob ihr betroffen seid, lässt sich durch Eingabe folgenden Miniskriptes Überprüfen:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
Wird das Wort "vulnerable" ausgegeben, ist ein sofortiger Patch dringend zu empfehlen!
Der Bug existiert so lange, so lange es schon die bash gibt, also seit 1989!
Das Gefahrenpotenzial ist nach Expertenmeinung um einiges größer, als die des Heartbleed-Bugs! Die NIST Bewertet das Gefahrenpotential der Sicherheitslücke mit 10, dem Maximum!
Grund dafür ist die extrem hohe Verbreitung der bash, auch unter Webservern. Ich wage zu behaupten, dass über 99,5% aller Webserver die bash als Standardshell eingerichtet haben.
Zudem ist dieser Bug für mich eine weitere Bestätigung dafür, dass Open Source Software nicht immer sicherer ist als proprietäre. Dieser Fehler existiert seit 25 Jahren! Der Code für die bash wurde sicher mehrere tausend mal gelesen, der Bug wurde erst jetzt (zumindest erst jetzt offiziell) entdeckt!
Also nächstes mal, wenn jemand sagt, Threema ist unsicher weil closed source, einfach auf Heartbleed und Shellshock verweisen.
Nicht falsch verstehen, ich bin Fan von OSS, aber es ist nicht das Allzweckmittel!
Was haltet ihr davon?
Quellen und weiterführende Links:
https://apple.stackexchange.com/questions/1468…n/146851#146851
https://de.wikipedia.org/wiki/Shellshoc…eitsl%C3%BCcke)
http://web.nvd.nist.gov/view/vuln/deta…d=CVE-2014-6271
http://web.nvd.nist.gov/view/vuln/deta…d=CVE-2014-7169
http://seclists.org/oss-sec/2014/q3/649
