Anzeige
Eine Sicherheitslücke namens GHOST gefährdet Nutzer der Glibc-Bibliothek.
Eine Sicherheitslücke namens GHOST gefährdet Nutzer der Glibc-Bibliothek. (Bild: jbruce, OpenClipart)

Glibc: Ein Geist gefährdet Linux-Systeme

Eine Sicherheitslücke namens GHOST gefährdet Nutzer der Glibc-Bibliothek.
Eine Sicherheitslücke namens GHOST gefährdet Nutzer der Glibc-Bibliothek. (Bild: jbruce, OpenClipart)

Eine schwere Sicherheitslücke mit dem Namen GHOST ist in der Namensauflösung der Glibc-Bibliothek entdeckt worden. Das Problem wurde bereits vor zwei Jahren behoben, aber offenbar nicht als Sicherheitsproblem erkannt. Viele Linux-Distributionen sind daher betroffen.

Anzeige

Sicherheitsforscher der Firma Qualys haben eine schwerwiegende Sicherheitslücke in der Glibc-Bibliothek gefunden. Es handelt sich um einen Heap Overflow, der unter anderem die Funktion gethostbyname() betrifft. Durch die Übergabe einer fehlerhaften IP-Adresse kann man im schlimmsten Fall bösartigen Code ausführen. In sehr vielen Fällen ist es möglich, einen Server dazu zu bringen, den Hostnamen zu einer IP-Adresse aufzulösen. So dürfte häufig bereits eine einfache E-Mail reichen, um die Lücke auszunutzen. In vielen Fälle dürfte es somit trivial sein, mit Hilfe dieser Lücke Linux-Server zu übernehmen.

Fehler nicht als sicherheitskritisch erkannt

Der Fehler befindet sich in der Glibc schon seit der Version 2.2, die im November 2000 veröffentlicht wurde. Offenbar wurde das Problem bereits 2013 von den Glibc-Entwicklern entdeckt und behoben, doch damals erkannte wohl niemand, dass es sich um ein kritisches Sicherheitsproblem handelt. Glibc-Versionen ab 2.18 sind damit von dem Problem nicht mehr betroffen. Die Glibc ist die Standard-C-Bibliothek unter den meisten Linux-Systemen und wird von so gut wie allen Programmen genutzt.

Laut Qualys kann ein Angreifer mit dem Fehler vier oder acht Bytes überschreiben, je nachdem ob es sich um ein 32- oder 64-Bit-System handelt. Dabei kann der Speicher nur mit den ASCII-Werten von Zahlen überschrieben werden. Trotz dieser Einschränkung ist laut Qualys eine Code-Ausführung möglich. Qualys hat einen Exploit für den Mailserver Exim entwickelt, der bald veröffentlicht werden soll.

gethostbyname() eigentlich veraltet

Ob die Lücke in einzelnen Applikationen ausnutzbar ist, hängt von einigen Details ab. Eigentlich ist die Funktion gethostbyname() veraltet, aktuelle Applikationen sollten die Funktion getaddrinfo() nutzen, die nicht betroffen ist. Viele Programme nutzen außerdem gethostbyname() nur, wenn vorher ein Aufruf der Funktion inet_aton() fehlschlägt. In dem Fall ist das Problem ebenfalls nicht ausnutzbar. Trotz dieser Einschränkungen fanden die Qualys-Entwickler mehrere Programme, die verwundbar sind, neben dem Mailserver Exim beispielsweise auch das Mailfiltersystem procmail.

Viele Linux-Distributionen nutzen in ihrer Standardausführung jedoch ältere Glibc-Versionen. Die aktuelle stabile Debian-Version Wheezy (7.0) etwa kommt mit Glibc 2.13, die aktuelle Version 7 von Red Hat Enterprise nutzt Glibc 2.17. Die Distributionen portieren üblicherweise nur besonders gravierende und sicherheitskritische Patches aus dem aktuellen Glibc-Entwicklungszweig. Da bei diesem Fehler zunächst nicht erkannt wurde, dass es sich um einen kritischen Fehler handelt, sind auch aktuelle Versionen dieser Distributionen betroffen.

Die Lücke trägt den Namen GHOST

Die Lücke wurde auf den Namen GHOST getauft, eine Anspielung auf den Funktionsnamen gethostbyname(). Sie wird außerdem unter der ID CVE-2015-0235 geführt.

Öffentlich wurde der Bug durch eine Mail an eine französischsprachige Mailingliste, dort befindet sich auch ein ebenfalls französisches PDF mit einer Kurzananlyse von Qualys. Offenbar ging bei der Koordination der Veröffentlichung etwas schief und die Mail wurde bereits einige Stunden vor der geplanten Veröffentlichung bekannt. Inzwischen liegt auch eine ausführliche englischsprachige Beschreibung des Problems von Qualys vor. Dort befindet sich auch ein kurzer Beispielcode, mit dem man prüfen kann, ob das eigene System betroffen ist.

Aktuelle Glibc-Versionen nicht betroffen

Alle Nutzer von Linux-Systemen - egal ob auf Servern oder auf Desktops - sollten die aktualisierten Pakete ihrer Distributionen schnellstmöglich installieren. Unter Debian Wheezy ist das Problem in der Version 2.13-38+deb7u7 behoben. Nutzer von Distributionen, die aktuelle Versionen von Glibc einsetzen, müssen sich keine Sorgen machen. Die aktuellen Versionen von OpenSUSE, Ubuntu (inklusive der LTS-Version 14.04), Fedora und Gentoo nutzen beispielsweise alle neuere Glibc-Versionen, Nutzer dieser Distributionen müssen nur dann aktualisieren, wenn sie ältere Versionen ihrer Distribution einsetzen.


eye home zur Startseite
gadthrawn 02. Feb 2015

Und jetzt überleg noch mal. Gerade shared libraries anderen Programmen unterzujubeln war...

arm-zu-schlau 02. Feb 2015

Langsam nicht zu schnell ... - einerseits sind diese Themen wegen Linux und Grafik...

carsti 31. Jan 2015

Also theoretisch nicht ersetzbar oder nicht ersetzbar weil zuviel Aufwand? Zum Beispiel...

march 30. Jan 2015

So kann man das gleich viel besser vermarkten ;-) Erstaunlich wie viel Mühe in der...

nille02 30. Jan 2015

Da kommt meist Ballast mit, den du nicht ohne Aufwand los wirst. Die Wikis sind für die...

Kommentieren



Anzeige

  1. Softwareentwickler (m/w) Automatisierung
    Rasco GmbH, Kolbermoor Raum Rosenheim
  2. IT Domain Architect (m/w) für Business Architecture und Design
    Allianz Managed Operations & Services SE, München
  3. Junior Softwareentwickler C# / Java (m/w)
    Mönkemöller IT GmbH, Stuttgart
  4. Softwareentwickler für sicherheitsgerichtete Systeme in der Intralogistik (m/w)
    SEW-EURODRIVE GmbH & Co KG, Bruchsal

Detailsuche



Anzeige

Folgen Sie uns
       


  1. Dota

    Athleten müssen im E-Sport mehr als nur gut spielen

  2. Die Woche im Video

    Superschnelle Rechner, smarte Zähler und sicherer Spam

  3. Axanar

    Paramount/CBS erlaubt Star-Trek-Fanfilme

  4. FTTH/FTTB

    Oberirdische Glasfaser spart 85 Prozent der Kosten

  5. Botnet

    Necurs kommt zurück und bringt Locky millionenfach mit

  6. Google

    Livestreaming direkt aus der Youtube-App

  7. Autonome Autos

    Fahrer wollen vor allem ihr eigenes Leben schützen

  8. Boston Dynamics

    Spot Mini, die Roboraffe

  9. Datenrate

    Tele Columbus versorgt fast 840.000 Haushalte mit 400 MBit/s

  10. Supercomputer

    China und Japan setzen auf ARM-Kerne für kommende Systeme



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mighty No. 9 im Test: Mittelmaß für 4 Millionen US-Dollar
Mighty No. 9 im Test
Mittelmaß für 4 Millionen US-Dollar
  1. Mirror's Edge Catalyst im Test Rennen für die Freiheit
  2. Warp Shift im Test Zauberhaftes Kistenschieben
  3. Alienation im Test Mit zwei Analogsticks gegen viele Außerirdische

Schulunterricht: "Wir zocken die ganze Zeit Minecraft"
Schulunterricht
"Wir zocken die ganze Zeit Minecraft"
  1. MCreator für Arduino Mit Klötzchen LEDs steuern
  2. Lifeboat-Community Minecraft-Spieler müssen sich neues Passwort craften
  3. Minecraft Befehlsblöcke und Mods für die Pocket Edition

Mikko Hypponen: "Microsoft ist nicht mehr scheiße"
Mikko Hypponen
"Microsoft ist nicht mehr scheiße"

  1. Re: Die ursprünglichen Investitionskosten?

    RipClaw | 10:37

  2. Getrennte Dateiströme

    Xiut | 10:37

  3. Re: Warum wird der Index nie überarbeitet?

    unbuntu | 10:21

  4. Re: Parodien auch eingeschlossen?

    robinx999 | 10:11

  5. Re: Das ist ein Fan-Film-Verbot

    PedroKraft | 10:01


  1. 10:00

  2. 09:03

  3. 17:47

  4. 17:01

  5. 16:46

  6. 15:51

  7. 15:48

  8. 15:40


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel