Schwere Sicherheitslücke in Unix-Shell Bash ermöglicht Remote-Code-Ausführung

In der Unix-Shell Bash wurde eine Sicherheitslücke gefunden, die die Remote-Code-Ausführung ermöglicht. Erste Patches stehen inzwischen bereit.

In der weitverbreiteten Unix-Kommandozeile Bash wurde eine schwerwiegende Sicherheitslücke gefunden, die Angreifer unter Umständen zur Remote-Code-Ausführung ausnutzen können. Als Unix-Systeme sind auch die meisten Linux-Distributionen und Apples Mac OS betroffen.

Wie Red Hat in einem Blog-Beitrag beschreibt, entsteht die Sicherheitslücke durch die Möglichkeit, vor dem Start von Bash über spezielle Umgebungsvariablen Code in die Kommandozeile einzuspeisen, der dann beim Start ausgeführt wird. Da Bash von vielen Programmen im Hintergrund ausgeführt wird und beispielsweise über SSH als Kommandozeile für den Fernzugriff oder als Parser für CGI-Skripte genutzt wird, können Angreifer die Sicherheitslücke so zur Remote-Code-Ausführung ausnutzen.

Laut Red Hat lässt sich über den folgen Code herausfinden, ob die eigene Umgebung gefährdet ist:

$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Erhält man daraufhin den Wert vulnerable besteht die Sicherheitslücke auch in der eigenen Bash-Shell.

Für Linux-Distributionen wie Red Hat, Ubuntu, CentOS oder auch Debian stehen bereits Patches bereit, mit der die Bash-Sicherheitslücke geschlossen werden soll. Durch die weite Verbreitung der Bash-Kommandozeile wird das Ausmaß dieser Sicherheitslücke von Security-Experten bereits mit dem erst vor wenigen Monaten entdeckten Heartbleed-Bug verglichen.

Folgen Sie SearchSecurity.de auch auf Facebook, Twitter und Google+!

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Betriebssystemsicherheit

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close