In der GNU C Library, einer zentralen Linux-Komponente, wurde eine kritische Sicherheitslücke aufgedeckt. [...]
Laut einer Mitteilung des Computer Emergency Response Team Austria (CERT.at) wurde ein kritisches Problem in mehreren Versionen der GNU C Library (glibc ab Version 2.9) entdeckt. Sie ist eine freie Implementierung der C-Standard-Bibliothek und gehört zu den wichtigsten Bibliotheken eines Linux-Systems (siehe Wikipedia). Da sie dadurch in der Linux-Welt enorm weit verbreitet ist, wiegt jede gefundene Sicherheitslücke darin sehr schwer.
Der Fehler betrifft alle ab 2008 veröffentlichten glibc-Versionen, also so gut wie alle aktuellen Linuxdistributionen. Darunter unter anderem (aber nicht ausschließlich) Debian ab Version 6, Red Hat Enterprise Linux ab Version 6, Ubuntu ab Version 12.04, auf diesen Systemen basierende Distributionen sowie auch manche Embedded Systeme. Nicht von der Lücke betroffen sind den Angaben zufolge Systeme, auf denen glibc in Versionen vor 2.9 eingesetzt wird, sowie Systeme, auf denen andere libc-Varianten eingesetzt werden.
BELIEBIGER CODE
Im Detail geht es bei der gefundenen Lücke darum, dass in der glibc-Funktion _nss_dns_gethostbyname4_r, welche für Namensauflösung verantwortlich ist, ein Fehler (Eintrag in der CVE-Datenbank: CVE-2015-7547) existiert, der es einem Angreifer mittels übergroßer Netzwerkpakete erlaubt, einen Buffer-Overflow zu erzeugen. Dieser kann in weiterer Folge zur Ausführung von Code missbraucht werden.
Da die betroffenen Funktionen mit DNS-Lookups zu tun haben, lässt sich der Fehler CERT.at zufolge unter Umständen auch durch entfernte Angreifer ausnutzen, wenn diese einen Weg finden, die betroffene Software dazu zu bringen, DNS-Lookups auf durch den Angreifer kontrollierte Ressourcen zu machen. Das Team von Google Online Security hat dazu bereits einen „Proof of Concept“ veröffentlicht.
Grundsätzlich könne dies jedoch jede Software betreffen, die die entsprechenden Funktionen für DNS-Lookups benutzt, so CERT.at – auch asynchron, wie etwa bei Log-Analyse, sowie auf Geräten, die nicht öffentlich im Internet erreichbar sind, etwa interne Mailgateways.
Nach erfolgreichem Ausnützen der Schwachstelle kann ein Angreifer beliebigen Code mit den Rechten des Benutzers, unter dessen Account die betroffene Software läuft, ausführen. Damit sind alle Daten auf diesen Systemen, sowie alle durch diese erreichbaren Daten und Systeme gefährdet.
Da die Lücke nun öffentlich bekannt ist, ist die Wahrscheinlichkeit sehr hoch, dass sie auch ausgenutzt wird. Dementsprechend rechnet CERT.at bald mit grossflächigen Kampagnen, die diese Schwachstelle auszunutzen versuchen.
PATCHES
Es wird dringend empfohlen, die von den Betriebssystemen bzw. Distributionen bereitgestellten Patches zu installieren, und alle Services, die die entsprechenden Funktionen benutzen, neu zu starten. Hier kann es oft einfacher sein, das ganze System neuzustarten.
Eine Methode, herauszufinden, welche laufenden Services gegen glibc gelinkt sind, und nach der Durchführung des Updates neu gestartet werden müssen, ist etwa:
lsof | grep libc | awk ‚{print $1}‘ | sort | uni
Sollte eine Installation der bereitgestellten Patches momentan nicht möglich sein, gibt es mehrere Möglichkeiten, die Auswirkungen der Schwachstelle einzuschränken:
- Firewallseitig TCP-/UDP-DNS-Pakete die größer als 512 Bytes sind blockieren
- Den lokalen Resolver so konfigurieren, dass er illegitime Antworten blockiert
- In /etc/resolv.conf die Option edns0 deaktivieren
Endbenutzern empfiehlt CERT.at die Updates der Linux-Distributionen zu installieren und ihre Systeme danach zu rebooten. (pi/rnf)
Be the first to comment