‘Shellshock-bug even groot als Heartbleed’

Het securityteam van Red Hat meldt dat er een grote bug genaamd Shellshock zit in de Bash-shell van Linux en OS X.

De Bash-shell is het opdrachtregelprogramma waarmee gebruikers code op hun eigen systeem kunnen uitvoeren. Door de bug kunnen anderen via een malafide website een code in de Bash-shell injecteren, waardoor zij van afstand hun code kunnen uitvoeren en Linux- en OS X-apparaten kunnen overnemen.

[related_article id=”161920″]

Tevens gebruiken veel Linux-varianten de Bash-shell in apparaten met een eigen webserver (webcams, routers et cetera). Ook deze apparaten zijn dus kwetsbaar.

Het ook op Linux gebaseerde Android-besturingssysteem maakt geen gebruik van de Bash-shell. Tenzij je zelf Bash hebt geïnstalleerd, bijvoorbeeld via een custom-ROM.

Net zo serieus als Heartbleed
Inmiddels is er een patch voor de Linux-versie beschikbaar. De Linux-distributies Ubuntu en Debian hebben er een klaarstaan, Apple heeft nog niet gereageerd.

Het updaten van andere apparaten die de Bash-shell gebruiken is wel lastig, zegt beveiligingsonderzoeker Robert Graham. Volgens Graham is de Shellshock-bug even groot als Heartbleed, het grote OpenSSL-lek waardoor veel websites gevoelige informatie als e-mailadressen, wachtwoorden en creditcardgegevens niet veilig verwerkten.

Maar nu gaat het om veel meer systemen, waarbij veel apparaten ook niet eens meer geüpdatet kunnen worden.

Test het zelf
Volgens Graham kun je achterhalen of je systeem kwetsbaar is via een test, als je tenminste hier verstand van zaken hebt. Deze test vind je hier op deze blog.