Shellshock und unsere Reaktion darauf

Vor zwei Tagen versetzte eine für den Durchschnittsanwender vollkommen unverständliche Sicherheitslücke viele IT-Anwender und -Betreuer in helle Aufregung. Die unter dem Namen „Shellshock“ (nicht zu verwechseln mit dem gleichnamigen Kriegsphänomen) bekannt gewordene Lücke und ihre Ausnutzung haben es in der Tat in sich. Wir erläutern Ihnen, inwiefern Sie sich dafür interessieren sollten und was wir für unsere Kunden in der Folge unternommen haben.

Technische Hintergründe

Den wenigsten Anwendern dürften die in den vielen Nachrichtenmeldungen der letzten Tage genannten Begriffe wenig sagen. Das ist im Prinzip gut so, denn in der Tat sind die gängigen Windows-Betriebssyteme nicht von dieser Lücke betroffen. Die anfällige Software bash wird in der Regel auf Linux- und Mac-Systemen verwendet. Über Umwege sind aber dennoch viele Menschen bedroht: Denn gerade viele der Server, auf denen Millionen Nutzer ihre Daten sicher wähnen, seien es Mailserver oder Online-Massenspeicher, nutzen diese Shell.

Aber halt, was ist das eigentlich? Eine Shell nimmt vereinfacht gesagt Eingaben des Benutzers entgegen (Mausklicks oder Tastatureingaben) und übersetzt sie in entsprechende Aufrufe verschiedener Programme auf einem Computer. So nutzt jeder Computernutzer unbewusst stets eine Shell. Die bash ist eine besondere Shell, die rein per Tastatur bedient werden kann, jedoch auch umfangreiche Programmierfunktionen bereitstellt. So wird sie insbesondere von den Administratoren der vielen Server, aber auch automatisch von auf diesen installierter Software verwendet.

Bei der gegenwärtigen Sicherheitslücke lässt sich der Umstand, dass die bash auch von anderer Software automatisch verwendet wird, gegen den Server einsetzen. Durch geschickte Übergabe von Befehlen an z.B. einen betroffenen Webserver lässt sich dieser „kapern“ und fortan im Sinne des Angreifers nutzen.

Updates als Lösung

Noch vor der offiziellen Veröffentlichung der Sicherheitslücke vor zwei Tagen hatte der Entdecker der Lücke diese an die Entwickler der bash und auch an Red Hat gemeldet. Red Hat war so in der Lage, pünktlich zur Veröffentlichung bereits eine Aktualisierung für seine Betriebssystemprodukte auszuliefern. Weitere Hersteller zogen nach und so haben viele Administratoren bereits die Möglichkeit, ihre Server zu aktualisieren. Red Hat war auch der erste Hersteller, der nach Entdeckung einer weiteren Lücke in dieser neuen Version die endgültig um die Lücke bereinigte Aktualisierung bereitstellte.

Natürlich muss ein Update auch von den Administratoren installiert werden, damit ein Server als sicher gelten kann. Wir haben dies für die Systeme unserer Kunden und für die Infrastruktur in unserem Rechenzentrum direkt nach Veröffentlichung der Aktualisierungen durch Red Hat vorgenommen, sodass Sie als unser Kunde inzwischen vor der Ausnutzung der Lücke durch die inzwischen bekanntgewordenen Botnetze sicher sind.

Da die Sicherheitslücke bereits seit 25 Jahren in der bash vorhanden war, sind jedoch vermutlich noch viele weitere alte Systeme verwundbar, die von ihren Herstellern nur noch sporadisch, wenn überhaupt, mit Updates versorgt werden.
Insofern wird man von der Sicherheitslücke vielleicht noch einige Zeit weitere Nachrichten hören.

Einige Hintergründe zu dieser Lücke und zur Software bash haben wir für Sie hier zusammengestellt:

• Erklärung zu Shells im Allgemeinen
• Den Wikipedia-Artikel zur Lücke mit einer Anleitung zum Test
• (Englischsprachige) Einschätzung der Relevanz der Lücke

Wenn Sie bislang noch kein Kunde sind und wir auch für Ihren Linux-Server die Sicherheitslücke beheben sollen, sprechen Sie uns bitte an.

Weitere Informationen

Auch am Wochenende wurden noch weitere Sicherheitslücken in der Bash publiziert, bislang sind fünf Lücken öffentlich gemacht worden (CVE-2014-6271, CVE-2014-7169, CVE-2014-7186, CVE-2014-7187, CVE-2014-6277). Alle von uns betreuten Kunden haben die Aktualisierungen baldmöglichst erhalten. Wir werden auch weiterhin beobachten, ob weitere Versionen veröffentlicht werden.