Die unter dem Namen „ShellShock“ bekannt gewordenen Lücken in der Standard-UNIX-Shell Bash (einer textuellen Benutzerschnittstelle, die sehr häufig durch Skripte automatisiert genutzt wird) erlauben es, beliebigen Code auf einem nicht gepatchten System auszuführen. Es ist deshalb zwingend erforderlich, alle Systeme, die Server-Dienste anbieten (v.a. SSH und Webserver), zu aktualisieren. Da momentan dank intensiver Codeanalyse noch weitere ähnlich gefährliche Lücken entdeckt werden, ist es ratsam, häufig nach neu verfügbaren Updates für die Bash zu schauen!
Warum und wann sind darüber auch Webserver betroffen? Über die CGI-Schnittstelle bieten Webserver die Möglichkeit, Skripte auf dem Server auszuführen. Auch Bash-Skripte sind möglich. Da die gefundenen Lücken unabhängig vom in den Skripten enthaltenen Quelltext sind, ist es zwingend erforderlich, Updates einzuspielen! Auf allen vom URZ administrierten Maschinen (inkl. zentrale Webserver, WWW-User-Server, PROWeb-Server) sind gepatchte Pakete installiert. Hinweise zu ShellShock sind u.a. auf dieser Übersichtsseite und hier in einem Blog von RedHat zu finden.
Schreibe einen Kommentar
Du musst angemeldet sein, um einen Kommentar abzugeben.