ShellShock, Teil 3: Noch drei Sicherheitsprobleme bei der Bash
Nach der kritischen ShellShock-Lücke in der Bash sind weitere damit verwandte Lücken bekannt geworden. Details und Korrekturen zu einer von ihnen stehen noch aus; sie soll mit ziemlicher Sicherheit aus der Ferne ausnutzbar sein.
- Thorsten Leemhuis
Die Unix-Shell Bash, die vielen Linux-Distributionen und Mac OS beiliegt, hat noch einige Probleme mehr, als am Freitag bekannt war. Sie wurden gefunden, nachdem die Entwickler vor einigen Tagen eine kritische Lücke aufgetan haben; durch sie führen Webserver unter gewissen Umständen Code aus, den sie über das Netz erhalten. Parallel zur Veröffentlichung dieser als "ShellShock" bekannten Lücke am Mittwoch haben die großen Linux-Distributoren aktualisierte Bash-Versionen herausgegeben, um das Problem zu beseitigen. Sicherheitsexperten fanden aber einen weiteren Ausnutzweg; diesen stopfen die Distributoren seit Donnerstagabend mit einer zweiten Welle von Bash-Updates.
Diesen beiden Lücken werden als CVE-2014-6271 und CVE-2014-7169 geführt. Auch die drei weiteren haben bereits CVE-Einträge, die derzeit allerdings keine Details enthalten.
Lücken drei und vier
Bei zwei davon handelt es sich um Off-by-One-Fehler im Parser-Code, wie der bei Google arbeitende Sicherheitsexperte Michal Zalewski in einem Blog-Eintrag erklärt. Der auch als "lcamtuf" bekannte Google-Mitarbeiter empfiehlt Distributoren, einen Patch von Red-Hat-Mitarbeiter Florian Weimer einzuspielen, der diese als CVE-2014-7186 und CVE-2014-7187 geführten Probleme beseitigt. Bei Red Hat Enterprise Linux (RHEL) steckt diese Änderung schon in den am Freitag veröffentlichten Bash-Updates. Auch Fedora behebt dieses beiden Fehler, obwohl die Freigabe-Mail es nicht ausweist. Ubuntu beseitigt diese beiden Lücken durch ein am Samstag erschienenes Update – bei einigen Canonical-Distributionen ist es bereits das vierte Bash-Sicherheitsupdate innerhalb von einer Woche.
Nummer 5
Möglicherweise folgt bald das fünfte, denn bei der Beschreibung der Hintergründe erklärt Zalewski, er habe noch einen weiteren Fehler gefunden. Er erklärt dazu, dieser als CVE-2014-6277 geführte Fehler sei mit ziemlicher Sicherheit aus der Ferne ausnutzbar; dabei spiele Angreifern in die Hände, dass die Bash häufig nicht für Address Space Layout Randomization (ASLR) compiliert sei. Abgesehen von einer Fehlermeldung nennt er keine weiteren Details, da er den Fehler vorerst nur mit dem Bash-Hauptentwickler und den wichtigsten Linux-Distributoren diskutiert. In dem Zusammenhang ruft Zalewski abermals mit deutlichen Worten dazu auf, die Patches von Florian Weimer einzuspielen. (thl)
