Shellshock – schnelle Reaktion auf neue Sicherheitslücke

Der „Shellschock“ getaufte Fehler in der beliebten Bourne Again Shell (bash) hat es inzwischen sogar auf die Titelseite von Spiegel Online geschafft.

Was ist Shellshock?

Beim Aufruf der Shell können dieser verschiedene Umgebungsvariablen übergeben werden. Praktisch kann damit beispielsweise der Pfad gesetzt werden, an welchem nach Programmen gesucht wird, oder sonstige Information übergeben werden. Shellshock betrifft die Auswertung dieser Parameter. Durch den Fehler ist es möglich, zusätzlich zu den eigentlichen Parametern Kommandos anzugeben, welche in der Folge vom System ausgeführt werden. Die bash wird beispielsweise auch dann aufgerufen, wenn ein CGI ausgeführt wird oder in einem Web-Skript ein system() oder ähnlicher Aufruf ausgeführt wird. Daher ist die Tragweite dieses Fehlers ähnlich wie beim Heartbleed Bug.

Wie haben wir reagiert?

Nach Bekanntwerden des Fehlers und einer ersten Analyse haben wir bereits am Nachmittag des 24.09. erste kritische Server mit einer gepatchten Version der bash aktualisiert.

Über die Nacht stellte sich jedoch heraus, dass der veröffentlichte Patch nur einen Teil des Problems behebt. Daher haben wir nach entsprechenden eigenen Tests am Morgen des 25.09. erneut alle Server aktualisiert und das Problem damit behoben.