Abo
  • Services:

Sicherheitslücke

Fehler in Dhclient ermöglicht Root-Zugriff

Eine Sicherheitslücke im DHCP-Client Dhclient kann genutzt werden, um Schadcode einzuschleusen und auszuführen. Die Lücke betrifft auch den Xserver des X.org-Projekts.

Artikel veröffentlicht am ,

Für die Sicherheitslücke in Dhclient sind noch keine Exploits bekannt. Um die Lücke auszunutzen, muss die Software einen präparierten Hostnamen von einem maliziösen DHCP-Server abholen, der Metazeichen enthält. Dhclient, das zu den Standardprogrammen in Linux-Distributionen gehört, ignoriert diese Zeichen nicht. Dahinter kann sich schadhafter Shellcode verbergen, der dann mit Systemrechten ausgeführt werden kann.

Stellenmarkt
  1. Eurowings Aviation GmbH, Köln
  2. mobilcom-debitel GmbH, Büdelsdorf

Der Fehler betrifft auch X.org, denn Xrdb löst ebenfalls Hostnamen auf, die es von DHCP-Servern erhält. Das gilt vor allem für Rechner, die einen entfernten Zugriff über Xdmcp zulassen. Ein Bugfix ist in Xrdb 1.0.9 integriert. Die gegenwärtig aktuelle Version X11R7.6 enthält Xrdb 1.0.7.

Für Dhclient gibt es ebenfalls eine Fehlerkorrektur. In Version 4.1-ESV-R2 wurde der Fehler behoben. Allerdings wird es für Version 4.0.x keinen entsprechenden Patch geben. Der Eintrag DHCLIENT_SET_HOSTNAME kann manuell abgeschaltet werden, um zu verhindern, dass Hostnamen aktualisiert werden. Alternativ kann der Zugriff fremder oder unsicherer DHCP-Server eingeschränkt werden. Allerdings würde das bei einem kompromittierten offiziellen DHCP-Server wirkungslos bleiben.



Anzeige
Hardware-Angebote
  1. 119,90€

jojoo 08. Apr 2011

http://www.isc.org/software/dhcp/advisories/cve-2011-0997

jojoo 08. Apr 2011

zum update: _p1 ist wohl schon gepatcht. http://www.isc.org/software/dhcp/advisories/cve...

bstea 08. Apr 2011

Aus der Beschreibung: "ISC dhclient did not strip or escape certain shell meta-characters...


Folgen Sie uns
       


LG Signature OLED TV R angesehen (CES 2019)

LGs neuer Signature OLED TV R ist ausrollbar. Der 65-Zoll-Fernseher bietet verschiedene Modi, unter anderem kann der Bildschirm auch nur teilweise ausgefahren werden.

LG Signature OLED TV R angesehen (CES 2019) Video aufrufen
Europäische Netzpolitik: Schlimmer geht's immer
Europäische Netzpolitik
Schlimmer geht's immer

Lobbyeinfluss, Endlosdebatten und Blockaden: Die EU hat in den vergangenen Jahren in der Netzpolitik nur wenige gute Ergebnisse erzielt. Nach der Europawahl im Mai gibt es noch viele Herausforderungen für einen digitalen Binnenmarkt.
Eine Analyse von Friedhelm Greis


    Schwerlastverkehr: Oberleitung - aber richtig!
    Schwerlastverkehr
    Oberleitung - aber richtig!

    Der Schwerlast- und Lieferverkehr soll stärker elektrifiziert werden. Dafür sollen kilometerweise Oberleitungen entstehen. Dass Geld auf diese Weise in LKW statt in die Bahn zu stecken, ist aber völlig irrsinnig!
    Ein IMHO von Sebastian Grüner

    1. Elektromobilität Toyota und Panasonic wollen Akkus für Elektroautos bauen
    2. Ducati-Chef Die Zukunft des Motorrads ist elektrisch
    3. Softwarefehler Lime-Tretroller werfen Fahrer ab

    Urheberrecht: Warum die Kreativwirtschaft plötzlich Uploadfilter ablehnt
    Urheberrecht
    Warum die Kreativwirtschaft plötzlich Uploadfilter ablehnt

    Eigentlich sollte der umstrittene Artikel 13 der EU-Urheberrechtsreform die Rechteinhaber gegenüber Plattformen wie Youtube stärken. Doch nun warnen TV-Sender und Medien vor Nachteilen durch das Gesetz. Software-Entwickler sollen keine zusätzlichen Rechte bekommen.
    Von Friedhelm Greis

    1. Leistungsschutzrecht und Uploadfilter EU-Länder bremsen Urheberrechtsreform aus
    2. EuGH-Gutachten Deutsches Leistungsschutzrecht soll unzulässig sein
    3. Leistungsschutzrecht So oft könnten Verlage künftig an Bezahlartikeln verdienen

      •  /