{"id":889,"date":"2014-09-29T11:15:00","date_gmt":"2014-09-29T09:15:00","guid":{"rendered":"https:\/\/loeben.net\/blog\/?p=889"},"modified":"2026-03-07T16:33:35","modified_gmt":"2026-03-07T15:33:35","slug":"shellshock-durch-grosszuegige-bash-variablen","status":"publish","type":"post","link":"https:\/\/loeben.net\/blog\/shellshock-durch-grosszuegige-bash-variablen\/","title":{"rendered":"SHELLSHOCK durch gro\u00dfz\u00fcgige BASH Variablen"},"content":{"rendered":"\n
\"bash\"<\/figure>\n\n\n\n
\"Heartbleed<\/a>
Herzblut<\/figcaption><\/figure>\n\n\n\n

Nachdem uns im Fr\u00fchjahr 2014\u00a0Herzblut<\/a><\/strong> <\/a>in Wallung gebracht hat, gibt es in diesen Tagen turbulente\u00a0ShellShock<\/strong><\/a>\u00a0Stunden f\u00fcr die SysAdmins von Linux-Serven. Nicht nur die Webhostingbranche ist gefordert und studiert aktuell viele Announcementlisten und patchen betroffene Server. Dabei ist das schnellstm\u00f6gliche Reagieren \u00fcberlebenswichtig, weil die Sicherheitsl\u00fccke so einfach ausgenutzt werden kann. Die\u00a0Internetwetterampel<\/a>\u00a0des SANS-Institutes war sogar wieder einige Tage gelb gef\u00e4rbt.<\/a>Ursache war diesmal ein schwerwiegender Bug in der meistverwendeten\u00a0Shell<\/a>\u00a0von Linux-Servern. ShellShock\u00a0 Angriffsvektoren waren\/sind das Ziel nicht gepatchter bash Installationen in allen Linux-Systemen. Das sind nicht nur die Webserver im Internet. Nein inzwischen geh\u00f6ren dazu auch eine ganze Reihe von „embedded Linuxsystemen<\/a>„, die auch als „Internet der Dinge<\/a>“ (IoT<\/a>) bezeichnet werden. Technische Details beschreibt zu der ShellShock-Verwundbarkeit HeiseSecurity u.a.\u00a0hier.<\/a><\/p>\n\n\n\n\n\n\n\n

In dem folgenden YouTube Video\u201cShellShock bash code injection vulnerability“<\/strong><\/em> erkl\u00e4rt Johannes B. Ullrich vom SANS Institut auf welche Angriffsvektoren Systemadmins sich diesmal einstellen m\u00fcssen bzw. mussten.<\/p>\n\n\n\n

\n