Einige Lücken wurden in der Unix-Shell Bash, die vielen Linux-Distributionen und Mac OS beiliegt, gefunden, nachdem die Entwickler vor einigen Tagen eine kritische Lücke aufgetan haben, durch die Webserver unter gewissen Umständen Code ausführen, den sie über das Netz erhalten. Um das Problem zu beseitigen, haben die großen Linux-Distributoren parallel zur Veröffentlichung dieser als "ShellShock" bekannten Lücke aktualisierte Bash-Versionen herausgegeben. Allerdings fanden Sicherheitsexperten einen weiteren Ausnutzweg, der dann ebenfalls von den Distributoren mit Bash-Updates geschlossen wurde.

Als CVE-2014-6271 und CVE-2014-7169 werden diesen beiden Lücken geführt. Auch drei weitere Sicherheitslücken haben bereits CVE-Einträge, die derzeit allerdings keine Details enthalten.

Der bei Google arbeitende Sicherheitsexperte Michal Zalewski, der auch als "lcamtuf" bekannt ist, erklärt in einem Blog-Eintrag, dass es sich bei zwei der Lücken um Off-by-One-Fehler im Parser-Code handele. Er empfiehlt Distributoren, einen Patch von Red-Hat-Mitarbeiter Florian Weimer einzuspielen, der diese als CVE-2014-7186 und CVE-2014-7187 geführten Probleme beseitigt. In den bereits veröffentlichten Bash-Updates von Red Hat Enterprise Linux (RHEL) und Fedora steckt schon diese Änderung. Bei Ubuntu können diese beiden Lücken durch ein am 27.09.2014 erschienenes Update beseitigt werden.

Zalewski erklärt bei der Beschreibung der Hintergründe, dass er noch einen weiteren Fehler gefunden habe. Mit ziemlicher Sicherheit sei dieser als CVE-2014-6277 geführte Fehler aus der Ferne ausnutzbar, da die Bash häufig nicht für Address Space Layout Randomization (ASLR) compiliert sei.

(ts, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE