Nachdem uns im Frühjahr 2014 Herzblut in Wallung gebracht hat, gibt es in diesen Tagen turbulente ShellShock Stunden für die SysAdmins von Linux-Serven. Nicht nur die Webhostingbranche ist gefordert und studiert aktuell viele Announcementlisten und patchen betroffene Server. Dabei ist das schnellstmögliche Reagieren überlebenswichtig, weil die Sicherheitslücke so einfach ausgenutzt werden kann. Die Internetwetterampel des SANS-Institutes war sogar wieder einige Tage gelb gefärbt.Ursache war diesmal ein schwerwiegender Bug in der meistverwendeten Shell von Linux-Servern. ShellShock Angriffsvektoren waren/sind das Ziel nicht gepatchter bash Installationen in allen Linux-Systemen. Das sind nicht nur die Webserver im Internet. Nein inzwischen gehören dazu auch eine ganze Reihe von „embedded Linuxsystemen„, die auch als „Internet der Dinge“ (IoT) bezeichnet werden. Technische Details beschreibt zu der ShellShock-Verwundbarkeit HeiseSecurity u.a. hier.
In dem folgenden YouTube Video“ShellShock bash code injection vulnerability“ erklärt Johannes B. Ullrich vom SANS Institut auf welche Angriffsvektoren Systemadmins sich diesmal einstellen müssen bzw. mussten.
Meine Empfehlungen lauten:
- Stellen Sie fest, welche bash Version Sie auf Ihrem(n) Server(n) verwenden.
- Installieren Sie umgehend die oben empfohlenen Updates.
Weiterführende Links:
- Heisec http://heise.de/-2404788
- RHEL https://access.redhat.com/articles/1200223
- SANS Institut ISC https://isc.sans.edu/forums/diary/Update+on+CVE-2014-6271+Vulnerability+in+bash+shellshock+/18707
- Golem http://www.golem.de/news/linux-shell-bash-sicherheitsluecke-erlaubt-codeausfuehrung-auf-servern-1409-109439.html
- Wikipedia http://de.wikipedia.org/wiki/Embedded_Linux
- Shellshock Epilog http://heise.de/-2412822