Wie Sie wahrscheinlich bereits aus der Presse erfahren konnten, ist am Mittwoch eine Sicherheitslücke in der genannten „bash“ gefunden worden. Die „bash“ ist unter einem Linux-Betriebsystem die „Arbeitsumgebung“ eines Administrators, und damit vergleichbar mit dem Windows Desktop. Zusätzlich bietet die „bash“ die Möglichkeit kleine Scripte (also kleine Programme) zu schreiben, welche den Alltag auf einem Linux System erleichtern soll. Gerade unter diesen Gesichtspunkten wird die Sicherheitslücke derzeit ziemlich reißerisch von der Presse aufgegriffen und vor dieser Sicherheitslücke gewarnt. Teilweise werden sogar parallelen zu der sogenannten Heartbleed Sicherheitslücke gezogen.
Wir möchten an dieser Stelle die Sicherheitslücke keinesfalls kleinreden, der Fehler ist bei Weitem nicht trivial oder gar ungefährlich, allerdings teilen wir nicht die Dramatik, welche derzeit bezüglich dieses Sicherheitsrisikos aufgebaut wird.
Warum teilen wir nicht die Meinung der Presse?
Wir nutzen, wenn nicht anders vom Kunden gewünscht, ausschließlich Debian als Linux Distribution. Debian selbst nutzt für seine Scripte seit längeren nicht mehr „bash“ als Grundlage für Scripte, sondern eine eigene Umgebung namens „dash“. Die sogenannte „dash“ ist nicht anfällig für die Sicherheitslücke. Unter Debian sind also nur die eigentlichen Server Zugänge, sogenannte Shell Accounts betroffen oder eigene Scripte welcher in der Sprache „bash“ geschrieben wurden. Beide Szenarien können aber ausschließlich lokal ausgenutzt werden. Also von einem Mitarbeiter oder aber einen Angreifer, welcher schon vorher und völlig unabhängig von der Sicherheitslücke bereits Zugriff auf das System hatte.
Was bewirkt die Sicherheitslücke in der „bash“?
Unter bestimmten Konstellationen ist es möglich aus der Ferne einen sogenannten „Shell Account“ zu nutzen bzw. zu starten, über diesen man dann Befehle an das Linux Betriebssystem eingeben kann (ein sogenannte „Remote Code Injection“ Angriff). Dieser „Shell Account“ würde in den meisten Fällen den User „www-data“ betreffen, welcher als unprivilegiert eingestuft ist. Der Benutzer „www-data“ ist also kein administrativer Benutzer und hat keine besonderen Rechte (ein sogenannter „root hack“).
Was unternimmt die Hostway Deutschland GmbH um das Sicherheitsrisiko zu unterbinden?
Wir sind bereits seit Mittwoch mit diesem Fall betraut und bemühen uns um eine objektive Sachlage. Wir werden so schnell wie möglich die notwendigen Schritte zur Absicherung der Systeme vornehmen. Allerdings sind wir hier auf die Hilfe der Entwickler der „bash“ als auch die Entwickler der Linux Distribution angewiesen. Derzeit (Stand: 26.09.2014 – 11:00 Uhr) gibt es aber noch kein „offizielles“ Patch um die Sicherheitslücke zu schließen. Die Entwickler der „bash“ haben aber bereits mit einem „experimentellen“ Patch auf die Lage reagiert. Allerdings ist der erste Patch erneut „gehacked“ worden, wodurch dieser nutzlos wurde. Daher haben wir auf den Linux-Systemen noch nicht damit begonnen, diese zu aktualisieren. Sobald wir von den Entwicklern „grünes“ Licht bekommen, werden wir selbstverständlich umgehend mit der Aktualisierung Ihrer Systeme beginnen.
Was können Sie als Kunde tun?
Wir können selbst nur die Server kontrollieren und einschätzen, wo hier die Risiken liegen. Leider fehlen uns die Möglichkeiten, Ihre Webseite oder Scripte zu prüfen und zu bewerten. Daher möchten wir Sie an dieser Stelle bitten, selbst einmal Ihre Webseite zu kontrollieren und zu bewerten, ob Sie irgendwo die „bash“ benutzen. Sei es als Aufruf in einer PHP Datei oder über ein Perl Script. Sollten Sie hier unsicher sein, können Sie sich selbstverständlich an uns wenden und wir gehen die Punkte gemeinsam durch.
Ihr Hostway Team