→ Kommentar zu „Shellshock“-Lücke bei Apple und Linux — Die erste Angrifsswelle läuft [1] in der Taz [2].
Es hat keine 2 Tage gedauert, bis der Bug gefixt war. Und jetzt werden gerade auch alle möglichen anderen Teile von Bash auf Herz und Nieren geprüft. Nicht nur von Hobbyisten, sondern auch von Firmen, die Freie Software nutzen und verkaufen.
Statt ewig auf einen einzelnen Hersteller warten zu müssen, wurden binnen Stunden erste Lösungen veröffentlicht und nach wenigen Tagen war das Problem durch Ad-Hoc Kooperationen der verschiedensten Programmierer gelöst. Jetzt muss der Fix nur noch in die verschiedensten Distributionen verteilt werden und Shellshock ist Vergangenheit.
Dadurch wird die GNU Bash [3] in Zukunft sicherer sein als je zuvor - vermutlich eine der sichersten Shells.
Zur Gefahr durch diesen Fehler: Es dauerte keine zwei Tage ihn zu beheben. Selbst im schlimmsten vorstellbaren Fall mit sofortigen massiven Angriffen gegen alle verwundbaren Server, die zu einem Ausfall des Stromnetzes geführt hätten, wäre der Bug behoben gewesen, bevor der Inhalt einer geschlossenen Tiefkühltruhe angetaut wäre (würde es länger dauern, wäre es kritisch, weil die Nahrungsmittelversorgung in Gefahr geriete).
Natürlich wäre es schön, wenn solche Bugs gar nicht erst aufträten, aber das ist unrealistisch. Software, die groß genug ist um nützlich zu sein, hat immer auch Bugs. Und die Reaktion auf diesen Bug war vorbildlich.
Links:
[1] https://taz.de/!146693/
[2] http://taz.de
[3] http://gnu.org/s/bash