Anzeige
Curiosity benutzt den LZO-Algorithmus, in dem eine Sicherheitslücke gefunden wurde.
Curiosity benutzt den LZO-Algorithmus, in dem eine Sicherheitslücke gefunden wurde. (Bild: NASA)

Integer-Overflow: Sicherheitslücke in Kompressionsverfahren LZ4 und LZO

Im Code für die weit verbreiteten Kompressionsverfahren LZO und LZ4 ist eine Sicherheitslücke entdeckt worden. Das betrifft zahlreiche Anwendungen, darunter den Linux-Kernel, die Multimediabibliotheken FFmpeg und Libav sowie OpenVPN.

Anzeige

Der Linux-Kernel, die Multimedia-Bibliotheken FFmpeg und Libav, OpenVPN sowie zahlreiche weitere Anwendungen sind von einer Sicherheitslücke in den Kompressionsalgorithmen LZO und LZ4 betroffen. Veröffentlicht wurde die Lücke von Don Bailey von der Firma Lab Mouse Security. Sie lässt sich im Linux-Kernel vermutlich nur in seltenen Fällen ausnutzen. Bei FFmpeg und Libav ist das Problem gravierender.

Kompressionsverfahren 1994 entwickelt

LZO ist ein Kompressionsverfahren, 1994 vom Österreicher Markus Oberhumer entwickelt wurde. Es handelt sich dabei um eine Weiterentwicklung der Lempel-Ziv-Algorithmen LZ77 und LZ78. Oberhumer selbst hat eine C-Implementierung von LZO unter der GNU General Public License als freie Software veröffentlicht. LZ4 ist eine Weiterentwicklung des Codes von LZO.

LZO ist weit verbreitet. Laut dem Blogbeitrag bei Lab Mouse Security verwendete sogar der Mars-Rover Curiosity zur Datenübertragung diesen Kompressionsalgorithmus. Außerdem wird der Code von LZO und LZ4 von zahlreichen freien Softwareprojekten verwendet. Alle sind damit potentiell von der entdeckten Sicherheitslücke betroffen.

Im Linux-Kernel dürften die Konsequenzen jedoch überschaubar sein: Die Kompressionsverfahren werden meistens nur dafür verwendet, den Kernel selbst oder das sogenannte Initramfs zu komprimieren. In beiden Fällen hat ein Angreifer üblicherweise keine Möglichkeit, manipulierte komprimierte Daten vom Kernel dekomprimieren zu lassen. Bailey weist in seinem Blogeintrag darauf hin, dass die Ausführung von Code wahrscheinlich nicht möglich ist und 64-Bit-Systeme nicht betroffen sind.

Bei den Multimediabibliotheken FFmpeg und Libav sind die Konsequenzen gravierender: Hier ist die Ausführung von bösartigem Code möglich. Besonders gravierend ist es, wenn ein auf FFmpeg oder Libav basierender Videoplayer als Browserplugin eingesetzt wird. Bailey schreibt, dass bei manchen Linux-Distributionen Mplayer2 in der Standardinstallation samt passendem Browserplugin installiert wird.

Zur Ausnutzung der Sicherheitslücke in OpenVPN sind bislang keine Details bekannt. Weitere Programme, in denen der Code verwendet wird, sind unter anderem Grub und Busybox. Der Debian-Entwickler Yves-Alexis Perez hat eine umfangreiche Liste mit betroffenen Programmen erstellt.

Details zur Ausnutzung später

Don Bailey hat bislang keine Details zur Ausnutzung der Lücke bekanntgegeben. Er will damit warten, bis korrigierte Versionen von den meisten betroffenen Programmen zur Verfügung stehen.

Die Lücke im Kernel-Code haben die IDs CVE-2014-4611 (LZ4) und CVE-2014-4608 (LZO) erhalten. Die Lücke in FFmpeg hat die ID CVE-2014-4610, in Libav die ID CVE-2014-4609 und im originalen LZO-Code die ID CVE-2014-4607.

Der Linux-Kernel behebt die Sicherheitslücken sowohl im LZO als auch im LZ4-Code mit der Version 3.15.2. Vom originalen LZO-Code gibt es die korrigierte Version 2.07. Für den originalen LZ4-Code gibt es bislang keine Korrektur. Von FFmpeg wurde die korrigierte Version 2.2.4 veröffentlicht. In LibAV wurde der Fehler im Git-Repository behoben, eine neue Version gibt es jedoch noch nicht.

Nachtrag vom 27. Juni 2014, 11:12 Uhr

Der Entwickler des LZ4-Codes, Yann Collet, hat in seinem Blog auf die Sicherheitslücke reagiert. Er weist darauf hin, dass die Lücke ursprünglich nicht von Bailey, sondern von Ludvig Strigeus, dem Entwickler von µTorrent, entdeckt wurde. Außerdem sei der Fehler in LZ4 aufgrund der Blockgröße überhaupt nicht ausnutzbar, schreibt Collet. Trotzdem wurde der Fehler jetzt auch dort behoben.

Bailey kommentierte die Vorwürfe von Collet auf der Mailingliste oss-security und erläuterte, warum er die Sicherheitslücke für gravierender hielt. Außerdem lieferte er noch einen Beispiel-Exploit für den LZ4-Code im Linux-Kernel.


eye home zur Startseite
Nerd_vom_Dienst 27. Jun 2014

Seit anbeginn ist deine einzige Intension hier zu trollen, und nichtmal das kannst du...

nicoledos 27. Jun 2014

Mit derartigen Äußerungen würde ich vorsichtig sein. Selbst wenn ein Problem relativ...

maciej2maciek 27. Jun 2014

The example is flawed, because it supposes any program can access Linux Kernel...

hannob (golem.de) 27. Jun 2014

Ich hab einen Nachtrag für den Artikel verfasst. Bailey hat darauf inzwischen auch...

Galde 27. Jun 2014

Im Kernel 3.15.2 gibt es bereits Patches Quelle: https://www.kernel.org/pub/linux/kernel...

Kommentieren



Anzeige

  1. Softwareentwickler (m/w) Java/C#
    D.O.M. Datenverarbeitung GmbH, Nürnberg
  2. Junior Softwareentwickler Java (m/w)
    T-Systems on site services GmbH, Nürnberg
  3. Java Software-Entwickler (m/w)
    Clausohm-Software GmbH, Neverin, Berlin, Aachen
  4. Mitarbeiter (m/w) 1st Level Support
    Kaufland Logistik Möckmühl, Möckmühl

Detailsuche



Anzeige
Blu-ray-Angebote
  1. NUR BIS SONNTAG: 3 Blu-rays für 20 EUR
    (u. a. Spaceballs, Anastasia, Bullitt, Over the top, Space Jam)
  2. Game of Thrones [dt./OV] Staffel 6
    (jeden Dienstag ist eine neue Folge verfügbar)
  3. NUR BIS SONNTAG: Blu-rays reduziert
    (u. a. Jurassic World 9,99€, Terminator Genisys 9,99€, Fast & Furious 7 8,97€, Fantastic Four...

Weitere Angebote


Folgen Sie uns
       


  1. Radeon RX 480

    AMDs 200-Dollar-Polaris-Grafikkarte liefert über 5 Teraflops

  2. Ultra Compact Network

    Nokia baut LTE-Station als Rucksacklösung

  3. Juniper EX2300-C-12T/P

    Kompakt, lüfterlos und mit 124 Watt Powerbudget

  4. Vorratsdatenspeicherung

    Alarm im VDS-Tresor

  5. Be Quiet Silent Loop

    Sei leise, Wasserkühlung!

  6. Kryptowährung

    Australische Behörden versteigern beschlagnahmte Bitcoins

  7. ZUK Z2

    Android-Smartphone mit Snapdragon 820 für 245 Euro

  8. Zenbook 3 im Hands on

    Kleiner, leichter und schneller als das Macbook

  9. Autokauf

    Landgericht Köln entdeckt, dass SMS sich löschen lassen

  10. Toughpad FZ-B2 Mk 2

    Panasonic zeigt neues Full-Ruggedized-Tablet mit Android



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Doom im Test: Die beste blöde Ballerorgie
Doom im Test
Die beste blöde Ballerorgie
  1. Doom im Technik-Test Im Nightmare-Mode erzittert die Grafikkarte
  2. id Software Doom wird Vulkan unterstützen
  3. Id Software PC-Spieler müssen 45 GByte von Steam laden

Darknet: Die gefährlichen Anonymitätstipps der Drogenhändler
Darknet
Die gefährlichen Anonymitätstipps der Drogenhändler
  1. Privatsphäre 1 Million Menschen nutzen Facebook über Tor
  2. Security Tor-Nutzer über Mausrad identifizieren

Privacy-Boxen im Test: Trügerische Privatheit
Privacy-Boxen im Test
Trügerische Privatheit
  1. Fehler in Blogsystem 200.000 Zugangsdaten von SZ-Magazin kopiert
  2. Überwachung Aufregung um Intermediate-Zertifikat für Bluecoat
  3. IT-Sicherheit SWIFT-Hack vermutlich größer als bislang angenommen

  1. Re: was nützs, wenn darauf windows läuft?

    The_Soap92 | 05:23

  2. ja die gtx

    kelzinc | 05:17

  3. Re: Wird auch Zeit...

    kvoram | 04:55

  4. Re: nur helligkeit und blinken (hinten) zählt

    kvoram | 04:51

  5. In Deutschland ist der Download von Youtube...

    Spitzkater | 04:07


  1. 04:23

  2. 19:26

  3. 18:41

  4. 18:36

  5. 18:16

  6. 18:11

  7. 17:31

  8. 17:26


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel