25.09.14 10:22 Uhr
 2.194
 

Sicherheitslücke in Linux und Mac OS X bedrohlicher als "Heartbleed"

Bei Unix-basierten Betriebssystemen sowie bei Apple´s OS X wurde eine Sicherheitslücke entdeckt, die eine umfangreichere Bedrohung als der im April aufgetauchte Heartbleed-Bug in der Open-Source-Bibliothek Open-SSL darstellt.

Der Programmierfehler, der in den weitverbreiteten Betriebssystemen mit der Unix-Shell "Bash" (Bourne-again shell) entdeckt wurde, erlaubt Hackern nicht nur, wie bei Heartbleed, den Computer auszuspionieren, sondern auch relativ einfach, die Kontrolle über den Programmablauf der Server zu übernehmen.

Der Linux-Distributor Red Hat hat bereits einen Notfall-Patch bereitgestellt. Sicherheitsexperten halten dieses Update noch für unzureichend. Andere Hersteller, die die Standard-Shell "Bash" verwenden, wie beispielsweise Apple mit seinem Mac OS X, waren zum Zeitpunkt des Berichts nicht erreichbar.


Videoplayer auf dieser Seite ausblenden
WebReporter: montolui
Rubrik:   High Tech
Schlagworte: Linux, Sicherheitslücke, Mac, OS X, Mac OS X, Heartbleed
Quelle: reuters.com
Diese News zu meinen Favoriten hinzufügen Beitrag abgeben

5 User-Kommentare Alle Kommentare öffnen

Kommentar ansehen
25.09.2014 10:45 Uhr von smogm
 
+12 | -0
 
ANZEIGEN
Naja, bedrohlicher als Heartbleed...mal wieder ein super Eyecatcher. Allerdings benötigt man bereits irgendwie Zugang zur Shell, sodass man Umgebungsvariablen setzen kann die wiederum in anderen Skripten zur Verwendung kommen. Damit lassen sich dann beliebige Befehle in Form von Bash-Functions ausführen, mit den Rechten des Benutzers der die Bash-Function aufruft.

Um die Lücke auszunutzen muss man also schon direkt oder indirekt, beispielsweise durch schlechte Web-Programmierung, Zugang zur Shell haben.

Ich würde die Lücke etwas vorsichtiger dramatisieren.

Bei Heartbleed war wirklich kein Zugriff auf Server-Internas notwendig um Heap-Space auszulesen, was die Lücke deutlich "bedrohlicher" machte.

[ nachträglich editiert von smogm ]
Kommentar ansehen
25.09.2014 14:42 Uhr von Criseas
 
+5 | -3
 
ANZEIGEN
Die Bash ist ein "Programm" welches auf der Konsole die Befehle ausführt. Um die "Missbrauchen" zu können muss man also erstmal Zugang zur Konsole bekommen. Ich zweifel also an dem Ausdruck "gefährlicher als..."
Kommentar ansehen
25.09.2014 22:41 Uhr von DerBlup
 
+2 | -0
 
ANZEIGEN
@Criseas
Der Zugriff muss nicht direkt über die Konsole erfolgen. Kann auch mittels CGI und PHP geschehen. Genau das macht den Bug oder besser das Feature leider so gefährlich.

Komisch finde ich nur, dass das Ding seit 25 Jahren im Code enthalten ist und erst jemand seine Gefährlichkeit feststellt.

Die aktuellste Version behebt leider den Fehler immer noch nicht. Es wird leider noch etwas dauern, bis es behoben ist...
Kommentar ansehen
26.09.2014 03:42 Uhr von wombie
 
+0 | -0
 
ANZEIGEN
Wer hat denn Bash in CGI skripten...? Da benutzt man doch eh eher PHP, oder Phython/Perl.

Ansonsten... SSH vielleicht, aber wenn ein Angreifer schon eine Shell hat ist der Server eh verloren.
Kommentar ansehen
26.09.2014 07:55 Uhr von DerBlup
 
+0 | -0
 
ANZEIGEN
Warum denken immer alle, dass Angriffe von aussen (Internet) erfolgen müssen? Angriffe erfolgen sehr oft vom internen Netz aus. Manipulierte USB Sticks oder PDF´s, welche die Sekretärin mal schnell für einen Gast ausdruckt, reichen meist schon aus...

Primär muss ja auch nicht der Linux Server befallen werden. Das Einfallstor kann leicht ein Drucker oder evtl. ein OS mit schlechtem Patchlevel sein. Von da aus verbreitet sich das Zeug dann selber weiter.

>Wer hat denn Bash in CGI skripten...?
Es gibt leider nichts, was es nicht gibt... Wollte eigentlich nur mal darauf hinweisen, dass man nicht zwingend einen Terminalzugriff braucht.

Refresh |<-- <-   1-5/5   -> -->|
Diese News zu meinen Favoriten hinzufügen Beitrag abgeben


Copyright ©1999-2016 ShortNews GmbH & Co. KG

Die News auf dieser Website werden eigenverantwortlich von Nutzern erstellt. Die Shortnews GmbH & Co. KG nimmt keinen redaktionellen Einfluss auf die Inhalte.

impressum | agb | archiv | usenet | zur mobilen Ansicht
SCHLIESSEN

Willst Du die Seite wirklich verlassen?


...oder unseren und keine aktuellen News mehr verpassen?