Sicherheitslücke in der bash-Kommandozeile

Die bash-Shell ist eine in vielen Linux-Distributionen eingesetzer Kommandozeileninterpreter. Sie wird benutzt, um Befehle auszuführen, die auf der Kommandozeile (Erklärung auf Wikipedia) eingegeben werden. Sie wird auch in den von Campusspeicher verwendeten Linux-Distributionen eingesetzt.

Verwundbarkeit

Durch eine gestern abend veröffentlichte Sicherheitslücke kann die bash-Shell dazu missbraucht werden, Befehlscode auszuführen, der nicht von einem angemeldeten Administrator, sondern von einem Unbekannten stammt. Somit war es möglich, über eine spezielle Schreibweise den Befehl per Browser in der URL an die bash-Shell zu übergeben.

Behebung

Die Sicherheitslücke haben wir auf allen unseren Servern heute morgen durch Einspielen eines Sicherheitsupdates geschlossen.

Im Rahmen der Erstellung dieses Sicherheitsupdates wurde eine weitere potenzielle Schwachstelle eingeführt, welche voraussichtlich in den nächsten Tagen durch ein erneutes Update behoben wird (Fachdiskussion auf Twitter). Wir folgen dieser Diskussion und werden sich daraus ergebende weitere Maßnahmen ebenfalls ergreifen.