Abo
  • Services:

Glibc: Ein Geist gefährdet Linux-Systeme

Eine schwere Sicherheitslücke mit dem Namen GHOST ist in der Namensauflösung der Glibc-Bibliothek entdeckt worden. Das Problem wurde bereits vor zwei Jahren behoben, aber offenbar nicht als Sicherheitsproblem erkannt. Viele Linux-Distributionen sind daher betroffen.

Artikel veröffentlicht am , Hanno Böck
Eine Sicherheitslücke namens GHOST gefährdet Nutzer der Glibc-Bibliothek.
Eine Sicherheitslücke namens GHOST gefährdet Nutzer der Glibc-Bibliothek. (Bild: jbruce, OpenClipart)

Sicherheitsforscher der Firma Qualys haben eine schwerwiegende Sicherheitslücke in der Glibc-Bibliothek gefunden. Es handelt sich um einen Heap Overflow, der unter anderem die Funktion gethostbyname() betrifft. Durch die Übergabe einer fehlerhaften IP-Adresse kann man im schlimmsten Fall bösartigen Code ausführen. In sehr vielen Fällen ist es möglich, einen Server dazu zu bringen, den Hostnamen zu einer IP-Adresse aufzulösen. So dürfte häufig bereits eine einfache E-Mail reichen, um die Lücke auszunutzen. In vielen Fälle dürfte es somit trivial sein, mit Hilfe dieser Lücke Linux-Server zu übernehmen.

Fehler nicht als sicherheitskritisch erkannt

Stellenmarkt
  1. SEW-EURODRIVE GmbH & Co KG, Bruchsal
  2. Vector Informatik GmbH, Regensburg

Der Fehler befindet sich in der Glibc schon seit der Version 2.2, die im November 2000 veröffentlicht wurde. Offenbar wurde das Problem bereits 2013 von den Glibc-Entwicklern entdeckt und behoben, doch damals erkannte wohl niemand, dass es sich um ein kritisches Sicherheitsproblem handelt. Glibc-Versionen ab 2.18 sind damit von dem Problem nicht mehr betroffen. Die Glibc ist die Standard-C-Bibliothek unter den meisten Linux-Systemen und wird von so gut wie allen Programmen genutzt.

Laut Qualys kann ein Angreifer mit dem Fehler vier oder acht Bytes überschreiben, je nachdem ob es sich um ein 32- oder 64-Bit-System handelt. Dabei kann der Speicher nur mit den ASCII-Werten von Zahlen überschrieben werden. Trotz dieser Einschränkung ist laut Qualys eine Code-Ausführung möglich. Qualys hat einen Exploit für den Mailserver Exim entwickelt, der bald veröffentlicht werden soll.

gethostbyname() eigentlich veraltet

Ob die Lücke in einzelnen Applikationen ausnutzbar ist, hängt von einigen Details ab. Eigentlich ist die Funktion gethostbyname() veraltet, aktuelle Applikationen sollten die Funktion getaddrinfo() nutzen, die nicht betroffen ist. Viele Programme nutzen außerdem gethostbyname() nur, wenn vorher ein Aufruf der Funktion inet_aton() fehlschlägt. In dem Fall ist das Problem ebenfalls nicht ausnutzbar. Trotz dieser Einschränkungen fanden die Qualys-Entwickler mehrere Programme, die verwundbar sind, neben dem Mailserver Exim beispielsweise auch das Mailfiltersystem procmail.

Viele Linux-Distributionen nutzen in ihrer Standardausführung jedoch ältere Glibc-Versionen. Die aktuelle stabile Debian-Version Wheezy (7.0) etwa kommt mit Glibc 2.13, die aktuelle Version 7 von Red Hat Enterprise nutzt Glibc 2.17. Die Distributionen portieren üblicherweise nur besonders gravierende und sicherheitskritische Patches aus dem aktuellen Glibc-Entwicklungszweig. Da bei diesem Fehler zunächst nicht erkannt wurde, dass es sich um einen kritischen Fehler handelt, sind auch aktuelle Versionen dieser Distributionen betroffen.

Die Lücke trägt den Namen GHOST

Die Lücke wurde auf den Namen GHOST getauft, eine Anspielung auf den Funktionsnamen gethostbyname(). Sie wird außerdem unter der ID CVE-2015-0235 geführt.

Öffentlich wurde der Bug durch eine Mail an eine französischsprachige Mailingliste, dort befindet sich auch ein ebenfalls französisches PDF mit einer Kurzananlyse von Qualys. Offenbar ging bei der Koordination der Veröffentlichung etwas schief und die Mail wurde bereits einige Stunden vor der geplanten Veröffentlichung bekannt. Inzwischen liegt auch eine ausführliche englischsprachige Beschreibung des Problems von Qualys vor. Dort befindet sich auch ein kurzer Beispielcode, mit dem man prüfen kann, ob das eigene System betroffen ist.

Aktuelle Glibc-Versionen nicht betroffen

Alle Nutzer von Linux-Systemen - egal ob auf Servern oder auf Desktops - sollten die aktualisierten Pakete ihrer Distributionen schnellstmöglich installieren. Unter Debian Wheezy ist das Problem in der Version 2.13-38+deb7u7 behoben. Nutzer von Distributionen, die aktuelle Versionen von Glibc einsetzen, müssen sich keine Sorgen machen. Die aktuellen Versionen von OpenSUSE, Ubuntu (inklusive der LTS-Version 14.04), Fedora und Gentoo nutzen beispielsweise alle neuere Glibc-Versionen, Nutzer dieser Distributionen müssen nur dann aktualisieren, wenn sie ältere Versionen ihrer Distribution einsetzen.



Anzeige
Spiele-Angebote
  1. (-31%) 23,99€
  2. (u. a. Assassin's Creed Origins PC für 29€)
  3. 12,99€ + 1,99€ Versand oder Abholung im Markt
  4. 12,99€

gadthrawn 02. Feb 2015

Und jetzt überleg noch mal. Gerade shared libraries anderen Programmen unterzujubeln war...

arm-zu-schlau 02. Feb 2015

Langsam nicht zu schnell ... - einerseits sind diese Themen wegen Linux und Grafik...

carsti 31. Jan 2015

Also theoretisch nicht ersetzbar oder nicht ersetzbar weil zuviel Aufwand? Zum Beispiel...

march 30. Jan 2015

So kann man das gleich viel besser vermarkten ;-) Erstaunlich wie viel Mühe in der...

nille02 30. Jan 2015

Da kommt meist Ballast mit, den du nicht ohne Aufwand los wirst. Die Wikis sind für die...


Folgen Sie uns
       


Ark Survival Evolved für Smartphones - angespielt

Wir spielen Ark Survival Evolved auf einem Google Pixel 2.

Ark Survival Evolved für Smartphones - angespielt Video aufrufen
Automatisiertes Fahren: Der schwierige Weg in den selbstfahrenden Stau
Automatisiertes Fahren
Der schwierige Weg in den selbstfahrenden Stau

Der Staupilot im neuen Audi A8 soll der erste Schritt auf dem Weg zum hochautomatisierten Fahren sein. Doch die Verhandlungen darüber, was solche Autos können müssen, sind sehr kompliziert. Und die Tests stellen Audi vor große Herausforderungen.
Ein Bericht von Friedhelm Greis

  1. Nach tödlichem Unfall Uber entlässt 100 Testfahrer für autonome Autos
  2. Autonomes Fahren Daimler und Bosch testen fahrerlose Flotte im Silicon Valley
  3. Kooperationen vereinbart Deutschland setzt beim Auto der Zukunft auf China

Smartphone von Gigaset: Made in Bocholt
Smartphone von Gigaset
Made in Bocholt

Gigaset baut sein Smartphone GS185 in Bocholt - und verpasst dem Gerät trotz kompletter Anlieferung von Teilen aus China das Label "Made in Germany". Der Fokus auf die Region ist aber vorhanden, eine erweiterte Fertigung durchaus eine Option. Wir haben uns das Werk angeschaut.
Ein Bericht von Tobias Költzsch

  1. Bocholt Gigaset baut Smartphone in Deutschland

Segelschiff: Das Vindskip steckt in der Flaute
Segelschiff
Das Vindskip steckt in der Flaute

Hochseeschiffe gelten als große Umweltverschmutzer. Neue saubere Antriebe sind gefragt. Der Norweger Terje Lade hat ein futuristisches Segelschiff entwickelt. Doch solch ein neuartiges Konzept umzusetzen, ist nicht so einfach.
Ein Bericht von Werner Pluta

  1. Energy Observer Toyota unterstützt Weltumrundung von Brennstoffzellenschiff
  2. Hyseas III Schottische Werft baut Hochseefähre mit Brennstoffzelle
  3. Kreuzschifffahrt Wie Brennstoffzellen Schiffe sauberer machen

    •  /