Achtung, kritischer Bash-Bug!
Letzte Nacht stießen Rechercheure auf einen kritischen Sicherheitsbug, der alle Version der GNU Bash bis 4.3 betrifft. Jeder Rechner mit Linux, Unix oder Mac OS X mit Versionen von 1.14.0 bis 4.1 des Kommandozeileninterpreter ist von einer Sicherheitslücke betroffen, durch welche bösartiger Code aus der Ferne ausgeführt werden kann. NIST wies der Sicherheitslücke ursprünglich CVE-2014-6271 und dann CVE- 2014-7169 zu, um Problemen beim Patchen Rechnung zu tragen, und stufte den Bug als 10.0 im Schweregrad ein. Da von dem Bug potenziell Hundertmillionen Rechner betroffen sind, vergleichen ihn bereits viele mit Heartbleed und haben ihn „Shellshock“ getauft.
So verringern Sie die Risiken
Um auf die Sicherheitslücke zu prüfen, geben Sie bitte folgendes in Bash ein:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
Betroffene Versionen geben folgendes zurück:
vulnerable this is a test
Sichere Versionen geben folgendes zurück:
bash: warning: x: ignoring function definition attempt bash: error importing function definition for `x' this is a test
Weitere technische Hintergründe zu Shellshock finden Sie im Red Hat Security Blog. Nutzer und Administratoren, die von Shellshock betroffen sind, sollten folgende Patches umgehend einspielen:
Shellshock wurde von Stéphane Chazelas bei Akamai entdeckt. Die ursprüngliche Stellungnahme des Unternehmens finden Sie hier. Da sich diese Sicherheitslücke als das gesamte Internet betreffende Sicherheitsproblem erwiesen hat, verfolgt Emsisoft Shellshock weiter und hält Sie über etwaige kritische Entwicklungen auf dem Laufenden.
Was sollte ich als Windows-Nutzer tun?
Windows-Nutzer werden sich sicherlich fragen, was sie tun sollten, um sich sicher zu wissen, aber Sie könnten beruhigt sein, da sie nicht direkt davon betroffen sind; allerdings könnten Rechner betroffen sein, mit denen Sie im Netz interagieren. Leider kann Emsisoft hier nichts ausrichten, da wir die Betriebssysteme Linux, Unix und Mac OS X nicht unterstützen. Am besten harren Sie der Dinge und vertrauen darauf, dass Administratoren, die diese Systeme nutzen, die entsprechenden Patches so bald als möglich einspielen.
Wir wünschen eine Malware-freie Zeit!