Gestern wurde eine massive Sicherheitslücke in der unter Linux und Unix verwendeten Shell Bash bekannt. Der Fehler könnte es Angreifern erlauben, aus der Ferne Shell-Befehle in Linux- oder Unix-Systemen auszuführen. Laut Experten könnte der Bug schlimmer sein als Heartbleed, da er schon eine Weile existiert und mehr Geräte betrifft. Bitcoin.de hat gestern abend ausgiebig die Systeme getestet und kam zu dem Schluss, dass diese nicht betroffen sind. Die veröffentlichten Sicherheitspatches wurden von den Systemadministratoren nichts desto trotz installiert, nachdem sie gestern Abend veröffentlicht worden sind.
Netzwerke und Server und so weiter sind für den Laien kryptische, kaum verständliche Systeme. Oft reicht ein falsch abgewickeltes Detail oder ein Bug in irgendeinem Tool oder Programm, um die Sicherheit des ganzen Systems auszuhebeln. Nun wurde ein Bug in der Unix-Shell Bash entdeckt. Dieser kann es einem Hacker erlauben, durch eine speziell gestaltete Variable Shell-Befehle auf einem Server auszuführen, etwa um weitere Angriffe vorzubereiten.
Robert Graham von Errata Security schreibt, der Bash-Bug könnte ebenso schlimm oder schlimmer sein wie Heartbleed. Ein Grund sei, dass ein enormer Anteil von Systemen und Programmen, bei denen User Daten im Browser eingeben können, mit einer Shell interagiert. „Wir werden niemals in der Lage sein, jede Software zu katalogisieren, die von dem Bug betroffen ist.“ Darüber hinaus seien zwar viele Webserver schnell gepatcht, doch da draußen im Netz gebe es noch unzählig viele weitere Anwendungen wie Webcams oder WLAN-Router, bei denen es erfahrungsgemäß Monate dauern könne, bis sie gepatcht werden.
Da auf einschlägigen Internetseiten bereits der Rat erteilt wird, alle Bitcoins von Börsen abzuziehen, bis diese auf den Bug reagiert haben, hat das Technik-Team von Bitcoin.de bereits ein Statement abgegeben: „Die Systemadministratoren von Bitcoin.de haben die Sicherheitslücke gestern abend dahingehend überprüft, ob Systeme von bitcoin.de betroffen sind und kamen zu dem Schluss, dass dies nicht der Fall ist. Die Sicherheitsupdates wurden nichtsdestoweniger natürlich dennoch eingespielt.“
Zumindest von dieser Seite können wir also eine Entwarnung aussprechen. Vorsicht ist aber dennoch angebracht.
Weitere Infos zum Bashbug auf Icamtuf’s blog und red hat.