Heise und andere Medien hatten bereits am Montag Serverbetreiber in Kentnis gesetzt. Wir haben sofort reagiert und die von Ubuntu vorliegenden Patches eingespielt.

Zitat Heise:"Jede ernstzunehmende Sicherheitslücke hat heutzutage ein Logo. Bild: Paul M. Gerhardt Stimmen in der Security-Szene bezeichnen ShellShock, die kürzlich entdeckte Lücke in der Unix-Shell Bash, bereits als ein größeres Sicherheitsdebakel als Heartbleed.

So können unter anderem Webserver, die CGI-Skripte ausführen, darüber angreifbar sein. Diese Einschätzung ist durchaus diskutabel, sicher aber ist, dass die Lücke Systemadministratoren noch gehöriges Kopfzerbrechen bereiten wird.

Außerdem ist sie wohl seit der ersten Bash-Version vorhanden, was bedeutet, dass Systeme bereits seit gut 25 Jahren verwundbar sind. Unwirksamer Patch Ähnlich wie bei Heartbleed schaut die ganze Hacker-Szene gerade auf Bash und klopft es nach weiteren Problemen ab.

So ist jetzt schon herausgekommen, dass der am gestrigen Mittwoch von fast allen Linux-Distributionen ausgegebene Patch wohl die Lücke nicht vollständig stopft. Mit ein paar kreativen Änderungen lassen sich die Exploits zum Teil immer noch nutzen.

Inzwischen soll ein DDoS-Botnetz die Lücke bereits ausnutzen. Das ganze Ausmaß der Katastrophe Wie auch schon bei Heartbleed hat Robert Graham von Errata Security das Internet nach angreifbaren Systemen durchsucht, fand aber nur einige Tausende im Gegensatz zu Hunderttausenden beim SSL-Gau – wobei sein Skript wohl einen Fehler enthielt und er beim nächsten Scan mehr Treffer erwartet.

Die niedrigere Zahl von verwundbaren Systemen hat wahrscheinlich damit zu tun, dass neuere Web-Frameworks in der Regel kein CGI einsetzen. Bei den Treffern wird es sich um ältere CGI-Anwendungen handeln, welche in Bash geschrieben sind oder die Funktionen der C-Bibliothek system() und popen() verwenden.

Obwohl also weniger Server anfällig zu sein scheinen als bei Heartbleed, ist die Sicherheitslücke für betroffene Systeme doch gravierend, da der Angreifer sofort die volle Kontrolle über den Server an sich reißen kann." Zitat Ende

Wir halten die Bedrohung im Auge und werden auch weitere erforderliche updates vornehmen. In dem einen oder anderen Falle ist mit kurzfristigen Ausfällen der Server zu rechnen. Das gefällt uns nicht und Ihnen sicher auch nicht.

In Ihrem eigenen Interesse bitten wir Sie, im Sinne der Sicherheit Ihrer Webanwendung, um etwas Verständnis bis die Situation bereinigt ist!