Shellshock: Was ist das und inwiefern kann es mich gefährden?

Kürzlich wurde eine schwerwiegende Sicherheitslücke im Kommandozeilenprogramm Bash entdeckt, die für viele Nutzer weitreichende Folgen haben könnte. Bisher können die Gefahren nicht vollkommen überblickt werden und auch eine Lösung des Problems lässt noch auf sich warten.

Bash steht für „Bourne-again shell“ und ist ein freies Kommandozeilenprogramm, das erstmals 1989 veröffentlicht wurde. Bei den meisten Unix-basierten Betriebssystemen wird es als Standard-Shell genutzt, hierunter auch fast alle Linux-Distributionen sowie Mac OS X. Das Programm dient zur Steuerung einer Vielzahl von Systemprozessen.

Die nun entdeckte Sicherheitslücke, die weitläufig „Shellshock“ genannt wird, ermöglicht es, in Umgebungsvariablen einen Code einzufügen, der beim Start einer neuen Shell ungeprüft ausgeführt wird. Dieses Problem kann insbesondere bei betroffenen Webservern, aber auch bei anderen Geräten gravierende Folgen haben, weil ein potenzieller Angreifer hierüber Schadcodes einführen könnte.

Die Schwachstelle besteht schon seit 20 Jahren, wurde aber erst jetzt vom französischen Linux-Spezialisten Stephane Chazelas entdeckt. Der offizielle Name des Bugs lautet GNU Bash Remote Code Execution Vulnerability (CVE-2014-6271).

Shellshock wird mit dem Heartbleed-Bug in OpenSSL verglichen, das bereits im Frühjahr für Aufsehen gesorgt hatte. Wie sich jedoch langsam herauskristallisiert, ist das nun entdeckte Problem gravierender. Selbst Experten können die möglichen Folgen noch nicht überblicken. Das Unternehmen Red Hat hat bereits vier mögliche Angriffsstrategien benannt, doch aller Wahrscheinlichkeit nach ist die Liste damit nicht vollständig.

Zudem bereitet die Lösung des Problems vielen Experten Kopfschmerzen. Bereits am Mittwoch hatten einige Linux-Distributionen ein Patch veröffentlicht, mit dem die Sicherheitslücke geschlossen werden sollte. Wie sich herausstellte, wies das Patch jedoch weitere Lücken auf, die auf ähnliche Weise ausgenutzt werden könnten.

[Update: Apple hat ein Bugfix für Mac OS X veröffentlicht, um die Sicherheitslücke zu schließen. Jetzt verfügbar für: Mavericks, Mountain Lion und Lion.]

Folgen für Nutzer und wie man sich schützen kann

Die Gefahren, die von dieser Schwachstelle ausgehen, betreffen nicht nur Computer-Experten, die die Kommandozeile manuell bedienen. Denn alle Geräte mit einem betroffenen Betriebssystem sind gefährdet, weil Bash oftmals automatisch im Hintergrund läuft. Hierzu zählen unter anderem auch Router und Webserver. Und laut einer Statistik von W³Techs liefen im April dieses Jahres mehr als ein Drittel (36,8 %) aller Server auf dem betroffenen Betriebssystem Linux.

Das bedeutet, dass alle Internetnutzer unabhängig vom verwendeten Betriebssystem durch Shellshock gefährdet sind. Zwar sind Computer mit Windows-Betriebssystem von dem Problem nicht direkt betroffen, wenn ein Nutzer allerdings einen Webserver aufruft, der diese Schwachstelle beinhaltet, könnte sich hierrüber eine Malware injizieren lassen.

Mac OS- und Linux-Nutzer können überprüfen, ob ihre Systeme von der Schwachstelle betroffen sind. Laut Red Hat müssen sie hierfür lediglich den folgenden Befehl in Bash ausführen:

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Wenn Bash daraufhin die Zeichenfolge vulnerable ausgibt, ist das System verwundbar.

Unser Ratschlag für alle Nutzer lautet: Schafft euch eine aktuelle Antiviren-Software an. Diese kann zwar die Lücke nicht schließen, schützt euch aber vor einer potenziellen Malware-Infizierung. Das Problem wird uns vermutlich noch einige Zeit beschäftigen. Wir halten euch natürlich auf dem Laufenden und informieren euch, sobald es Neuigkeiten in Bezug auf Patches oder eine akute Gefährdung gibt.

[Update: Neuer Artikel auf der ESET-Knowledgebase: Was ist Shellshock und schützt ESET mich davor?]