„Shellshock“ so schlimm wie „Haertbleed“? Neue Sicherheitslücke bei Macs und Linux-Rechnern



Osnabrück. Viele Webserver laufen unter Linux. Weil es als stabil läuft, günstig ist und als halbwegs resistent gegen Schadcode gilt. Letzteres könnte sich jetzt ändern: Der Softwarehersteller Red Hat, der auch eine eigene Linux Distribution vertreibt, warnt vor einer Sicherheitslücke in der Linux- und Unix-Shell Bash.

Bash steht für Bourne Again Shell und ist ein Kommandozeilen Tool. Nicht irgendeins, sondern ein weit verbreitetes. Heimanwender bedienen ihren Rechner zwar überwiegend mit Maus oder Touchpad, gerade Administratoren werkeln aber oft auf der Kommandozeile und geben die Befehle dort direkt ein. Das geht schneller. Und viele Dinge sind auch nur per Shell möglich. Auf etlichen (Web)Servern ist deshalb erst gar keine grafische Benutzeroberfläche installiert.

Wer die jetzt entdeckte Sicherheitslücke ausnutzt, kann einen Rechner „überreden“, seine Befehle auszuführen. „Der als kritisch eingestufte Fehler erlaubt es unter Umständen, aus der Ferne und ohne Authentifizierung Shell-Befehle auf einem Linux- oder Unix-Server auszuführen“, bringt zdnet.de das Problem auf den Punkt.

Eigentlich müsste man dazu zwar Zugang zu dem Rechner haben. „Eigentlich“ ist aber auch das Wort, das am Anfang etlicher Katastrophen steht. In vielen Fällen verarbeitet Bash gerade bei Webservern im Hintergrund Daten und Nutzereingaben. Und genau an diesem Punkt können Hacker den Hebel ansetzen, um einen Rechner nach Gutdünken zu übernehmen und auszuspähen. Das erinnert irgendwie an den Heartbleed-Bug.

Erst im April war dieser Fehler in der weitverbreiteten Verschlüsselungssoftware OpenSSL entdeckt worden, die eigentlich im Internet für sicherer Verbindungen sorgen sollte. Dank dieses Bugs konnten Angreifer verschlüsselte Informationen auslesen und die übermittelten Daten und Inhalte abgreifen. Genau wie OpenSSL ist Bash OpenSource und galt als sicher, weil jeder den Programmcode einsehen und prüfen könnte. Die Zeit nennt den jetzt entdeckten Bash-Bug schon mal liebevoll „Shellshock“. Schließlich erinnert das irgendwie an den Shooterklassiker Bioshock …

Welche Dimensionen die jetzt entdeckte Sicherheitslücke tatsächlich hat, ist noch unklar. Denn Linux-Systeme mit Bash laufen wohl auch auf vielen Geräten, an die man zunächst nicht denkt. Dazu gehören zum Beispiel internetfähige Überwachungskameras. Und auch Apple nutzt Bash in seinem Betriebssystem OS X seit 2005 als Standard-Kommandozeile.

Noch spannender wird der jetzt entdeckte Fehler aber durch das Alter der Bash: Geschrieben wurde das Kommandozeilentool 1987 von Brian Fox. Und wer glaubt seit den Enthüllungen von Oliver Snowden noch daran, dass die NSA oder deren Mitbewerber einen Fehler mit solchen Möglichkeiten übersehen oder gar an die große Glocke gehängt hätten? Gut möglich, dass die NSA nicht nur mitliest und mithört, sondern auch schon seit Jahren mitschaut. Und vielleicht sogar mitwäscht ....


Weitere Angebote, Produkte und Unternehmen der noz MEDIEN