Abo
  • IT-Karriere:

Sicherheitslücke

Fehler in Dhclient ermöglicht Root-Zugriff

Eine Sicherheitslücke im DHCP-Client Dhclient kann genutzt werden, um Schadcode einzuschleusen und auszuführen. Die Lücke betrifft auch den Xserver des X.org-Projekts.

Artikel veröffentlicht am ,

Für die Sicherheitslücke in Dhclient sind noch keine Exploits bekannt. Um die Lücke auszunutzen, muss die Software einen präparierten Hostnamen von einem maliziösen DHCP-Server abholen, der Metazeichen enthält. Dhclient, das zu den Standardprogrammen in Linux-Distributionen gehört, ignoriert diese Zeichen nicht. Dahinter kann sich schadhafter Shellcode verbergen, der dann mit Systemrechten ausgeführt werden kann.

Stellenmarkt
  1. Stiftung ICP München, München
  2. über unternehmensberatung monika gräter, Raum Mühldorf / Inn

Der Fehler betrifft auch X.org, denn Xrdb löst ebenfalls Hostnamen auf, die es von DHCP-Servern erhält. Das gilt vor allem für Rechner, die einen entfernten Zugriff über Xdmcp zulassen. Ein Bugfix ist in Xrdb 1.0.9 integriert. Die gegenwärtig aktuelle Version X11R7.6 enthält Xrdb 1.0.7.

Für Dhclient gibt es ebenfalls eine Fehlerkorrektur. In Version 4.1-ESV-R2 wurde der Fehler behoben. Allerdings wird es für Version 4.0.x keinen entsprechenden Patch geben. Der Eintrag DHCLIENT_SET_HOSTNAME kann manuell abgeschaltet werden, um zu verhindern, dass Hostnamen aktualisiert werden. Alternativ kann der Zugriff fremder oder unsicherer DHCP-Server eingeschränkt werden. Allerdings würde das bei einem kompromittierten offiziellen DHCP-Server wirkungslos bleiben.



Anzeige
Spiele-Angebote
  1. 2,49€
  2. 4,99€
  3. 26,99€
  4. (-78%) 6,50€

jojoo 08. Apr 2011

http://www.isc.org/software/dhcp/advisories/cve-2011-0997

jojoo 08. Apr 2011

zum update: _p1 ist wohl schon gepatcht. http://www.isc.org/software/dhcp/advisories/cve...

bstea 08. Apr 2011

Aus der Beschreibung: "ISC dhclient did not strip or escape certain shell meta-characters...


Folgen Sie uns
       


Die Commodore-264er-Reihe angesehen

Unschlagbar günstig, unfassbar wenig RAM - der C16 konnte in vielen Belangen nicht mit dem populären C64 mithalten.

Die Commodore-264er-Reihe angesehen Video aufrufen
Minecraft Dungeons angespielt: Fehlt nur noch ein Klötzchen-Diablo in der Tiefe
Minecraft Dungeons angespielt
Fehlt nur noch ein Klötzchen-Diablo in der Tiefe

E3 2019 Von der Steuerung bis zu den Schatzkisten: Minecraft Dungeons hat uns beim Anspielen bis auf die Klötzchengrafik verblüffend stark an Diablo erinnert - und könnte gerade deshalb teuflisch spaßig werden!

  1. Augmented Reality Minecraft Earth erlaubt Klötzchenbauen in aller Welt
  2. Microsoft Augmented-Reality-Minecraft kommt zum zehnten Jubiläum
  3. Jubiläum ohne Notch Microsoft feiert Minecraft ohne Markus Persson

Ocean Discovery X Prize: Autonome Fraunhofer-Roboter erforschen die Tiefsee
Ocean Discovery X Prize
Autonome Fraunhofer-Roboter erforschen die Tiefsee

Öffentliche Vergaberichtlinien und agile Arbeitsweise: Die Teilnahme am Ocean Discovery X Prize war nicht einfach für die Forscher des Fraunhofer Instituts IOSB. Deren autonome Tauchroboter zur Tiefseekartierung schafften es unter die besten fünf weltweit.
Ein Bericht von Werner Pluta

  1. JAB Code Bunter Barcode gegen Fälschungen

Final Fantasy 7 Remake angespielt: Cloud Strife und die (fast) unendliche Geschichte
Final Fantasy 7 Remake angespielt
Cloud Strife und die (fast) unendliche Geschichte

E3 2019 Das Remake von Final Fantasy 7 wird ein Riesenprojekt, allein die erste Episode erscheint auf zwei Blu-ray-Discs. Kurios: In wie viele Folgen das bereits enorm umfangreiche Original von 1997 aufgeteilt wird, kann bislang nicht mal der Producer sagen.

  1. Final Fantasy 14 Online Report Zwischen Cosplay, Kirmes und Kampfsystem
  2. Square Enix Final Fantasy 14 erhält Solo-Inhalte und besonderen Magier
  3. Rollenspiel Square Enix streicht Erweiterungen für Final Fantasy 15

    •  /