29.09.2014
Weitere Sicherheitslücken
Unix-Bash trotz Shellshock-Patches unsicher
Autor: Robert Schanze
Foto: Shutterstock - Ai825
Nach Veröffentlichung von mehreren Patches für die Sicherheitslücke Shellshock, ist der Bug in der Bash-Shell noch immer nicht ausgemerzt. Drei weitere Lücken müssen zusätzlich gepatcht werden.
Immer noch gefährdet: Nachdem in der Kommandozeileneingabe Bash die schwerwiegende Sicherheitslücke Shellshock gefunden wurde, haben die großen Linux-Distributoren bereits Patches veröffentlicht, um das Problem zu beheben. Nun wurden drei weitere Sicherheitslücken entdeckt, die Shellshock nutzen. Betroffen sind alle Unix-Systeme, die auf die Bash-Shell setzen (Mac-OS, Linux, NAS-Betriebssysteme für Synology und QNAP).
Die neuen drei Sicherheitslücken werden unter der Bezeichnung CVE-2014-7186, CVE-2014-7187 und CVE-2014-6277 geführt und erlauben Remote-Angreifern DoS-Attacken (Denial of Service) auf Server durchzuführen. Durch eine Anfragen-Überlastung sind die Server dann nicht mehr für andere Computer im Internet erreichbar. Die dritte Sicherheitslücke ist laut National-Vulnerability-Database-Eintrag unter anderem durch einen fehlerhaften Patch für die ursprüngliche Shellshock-Sicherheitslücke CVE-2014-6271 entstanden. Wenn sie ausgenutzt wird, können Angreifer beliebigen Schad-Code auf den betroffenen Systemen ausführen.
Um Sicherheitslücken der Unix-Bash zu schließen empfiehlt der Google-Sicherheitsforscher Michal Zalewski die Installation des Patches von Red-Hat-Mitarbeiter Florian Weimer. Um zu überprüfen, ob der Patch installiert ist, geben Nutzer im Terminal folgenden Befehl ein foo='() { echo not patched; }' bash -c foo. Wenn die Wörter "not patched" erscheinen, ist der Patch noch nicht installiert. Wenn eine Meldung erscheint, dass der Befehl nicht gefunden wurde, ist der Patch bereits installiert.
Die Linux-Variante "Red Hat Enterprise Linux" behebt die Sicherheitslücken mit ihren Bash-Updates. Für die Linux-Distribution Fedora soll dies ebenfalls gelten.
"Lass dich frei."
Apple mit Pencil- und iPad-Event im Mai
Unter dem Claim "Lass dich frei." oder "Let loose." hat Apple sein nächstes Event angekündigt. Konkret werden am 7. Mai um 16.00 Uhr neue Geräte vorgestellt.
>>
Zu viel der Ordnung
macOS 14: Schreibtisch beruhigen
Mit macOS 14 ‹Sonoma› wird automatisch eine Ordnungsfunktion aktiviert, die in den Wahnsinn führen kann. So wird sie abgeschaltet.
>>
Cyberbedrohungen überall
IT-Sicherheit unter der Lupe
Cybersecurity ist essentiell in der IT-Planung, doch Prioritätenkonflikte und die Vielfalt der Aufgaben limitieren oft die Umsetzung. Das größte Sicherheitsrisiko bleibt der Mensch.
>>
Apple-Ecke
Schachtelteufel - so besiegen Sie ihn
Da klebt die Datei nun am Mauszeiger und soll in einer tief verschachtelten Ordnerhierarchie abgelegt werden.
>>