Eine Sicherheitslücke namens "Shellshock" wurde am 24.09.2014 in der GNU Bash (Bourne Again Shell) mit der ID CVE-2014-6271 entdeckt: Remotecodeausführung durch Bash.
Bash ist die Shell des GNU-Projektes und weit verbreitet auf Linux-Servern. Da viele 1&1 Kunden Linux Web-Hosting- und Server-Produkte verwenden, ist es wichtig über diesen Sachverhalt Bescheid zu wissen.
Laut der offiziellen Mitteilung der Open Source Security Mailing List bezieht sich die Bash-Sicherheitslücke CVE-2014-6271 darauf, wie Umgebungsvariablen verarbeitet werden: trailing code in function definitions was executed, independent of the variable name. In many common configurations, this vulnerability is exploitable over the network. Das bedeutet, dass Angreifer möglicherweise in der Lage sind, schädliche Befehle über den Web-Server weiterzuleiten. Diese könnten dann auf dem Linux-Server mit Berechtigungen des Webservers ausgeführt werden.
Gleich als die offiziellen Patches veröffentlicht wurden, begannen die 1&1 Operations-Teams, diese in unseren Systemen zu testen. Da die ursprünglich durch die GNU veröffentlichten Patches die Schwachstelle nicht vollständig schließen konnten, haben jetzt die großen Distributionsanbieter (insbesondere Debian / RHEL) Patches herausgegeben, welche die übriggeblieben Probleme behoben haben.
Gegenwärtig sind wir in der Qualitätssicherungs-Phase und geben die Patches so bald wie möglich an alle Web-Hosting- und Managed-Server-Kunden heraus. Dasselbe gilt auch für Neukunden unserer Root-Server-Produkte (1&1 Virtual Server, 1&1 Dynamic Cloud Server, 1&1 Dedicated Server ).
Wichtig zu beachten ist auch, dass 1&1 Web-Hosting und Managed Server-Kunden nicht anfällig für „Shellshock“-Angriffe von externen Quellen sind.
Darüber hinaus verfolgt das 1&1 Sicherheitsmanagement die Situation aufmerksam, um direkt zu handeln, wenn es notwendig werden sollte. Speziell zugeschnittene Infrastruktur-Sicherheitsmaßnahmen bieten einen zusätzlichen Schutz für unsere Kunden-Server.
Wir empfehlen allen 1&1 Server-Kunden, die Root-Zugriff haben und das Bash Software Paket verwenden, dringend die neuesten offiziellen Patches von den OS Distributionsanbietern anzuwenden.
Die neuesten Informationen über die Bash-Sicherheitslücke CVE-2014-6271 können hier nachverfolgt werden: http://seclists.org/oss-sec/.
1&1 Kunden wird außerdem empfohlen die Updates unter http://status.1und1.de zu verfolgen.
(Bild: © Vladislav Kochelaevs/Fotolia.com)
E-Mail
Share
Tweet
Unsere Kommentarfunktion ist ein Angebot von DISQUS. Hierzu werden Daten an DISQUS übermittelt und durch diese verarbeitet. Wir binden Ihre Kommentare nur im Auftrag ein und kümmern uns die Darstellung und Moderation der Beiträge. DISQUS respektiert „Do Not Track“ und bietet einen Datenschutz-Modus an, zudem können Sie auch als Gast kommentieren (Anleitung). Weitere Informationen finden Sie in unserer Datenschutzerklärung