Shellshock ist die gebräuchliche Bezeichnung für eine Codierungsschwachstelle in der Benutzeroberfläche der Bash-Shell, die Unix-basierte Betriebssysteme, einschließlich Linux und Mac OS X, betrifft und es Angreifern ermöglicht, aus der Ferne die vollständige Kontrolle über ein System zu erlangen.
Die von Stéphane Chazelas im September 2014 entdeckte Schwachstelle, die auch unter den Namen CVE-2014-6271 und CVE-2014-7169 bekannt ist, besteht seit mehr als 20 Jahren. Shellshock ist in jeder Version von Shell bis zu 4.3 vorhanden.
Der Shellshock-Fehler kann ohne jegliche Authentifizierung ausgenutzt werden, indem am Ende einer speziell gestalteten Bash-Funktion beliebiger bösartiger Code hinzugefügt wird. Diese Technik könnte es einem Angreifer ermöglichen, über die Befehlszeile auf ein System zuzugreifen, was häufig dazu führt, dass er uneingeschränkten Zugriff auf laufende Programme erhält, den Speicher nach sensiblen Daten durchsucht oder einen sich selbst ausbreitenden Wurm ermöglicht.
Die meisten betroffenen Anbieter von Servern und Betriebssystemen haben Software-Updates veröffentlicht, die die Shellshock-Schwachstelle beheben. Es gibt eine Vielzahl von Tools, mit denen überprüft werden kann, ob ein System von Shellshock betroffen ist oder ob ein Patch das Problem erfolgreich gelöst hat. Organisationen sollten Protokoll-Überwachungstechniken einsetzen, um Beweise für eine versuchte Ausnutzung von Shellshock zu finden; eine solche Nutzlast wird über eine URL oder einen HTTP-Header zugestellt und würde somit Beweise hinterlassen.
Die National Vulnerability Database des US-CERT stufte den Schweregrad des Fehlers mit 10,0 ein. Er wurde mit der Heartbleed-Schwachstelle verglichen, hauptsächlich wegen der Bewertung des Schweregrades.
Stand: 27.07.2020