Glibc: Sicherheitslücke gefährdet fast alle Linux-Systeme

Eine schwerwiegende Sicherheitslücke klafft in der Glibc-Bibliothek, die in fast allen Linux-Systemen genutzt wird: Eine DNS-Funktion erlaubt die Ausführung von bösartigem Code. Nutzer sollten schnellstmöglich Updates installieren.

Artikel veröffentlicht am , Hanno Böck
Die Namensauflösung der Glibc lässt sich zum Absturz bringen - und mit viel Aufwand auch zum Ausführen von Code.
Die Namensauflösung der Glibc lässt sich zum Absturz bringen - und mit viel Aufwand auch zum Ausführen von Code. (Bild: Screenshot / Hanno Böck)

Diese Sicherheitslücke hat es in sich: Mittels gezielter DNS-Antworten lässt sich unter Umständen die Namensauflösungsfunktion der Glibc-Bibliothek dazu bringen, fremden Code auszuführen. Die Glibc ist die Standard-C-Bibliothek, die üblicherweise auf Linux-Systemen zum Einsatz kommt.

Stellenmarkt
  1. Senior IT Projektmanager (w/m/d)
    Bechtle GmbH, Hamburg
  2. IT Manager Robotics Process Automation und Workflow Management (m/w/x)
    ALDI International Services GmbH & Co. oHG, Mülheim an der Ruhr
Detailsuche

Das Sicherheitsteam von Google schreibt, dass es die Lücke eher zufällig gefunden habe. Der SSH-Client eines Google-Entwicklers sei mehrfach abgestürzt, wenn dieser versucht habe, sich mit einem bestimmten Host zu verbinden. Eine nähere Analyse habe ergeben, dass der Fehler nicht in SSH, sondern in der Glibc-Bibliothek des Systems gelegen habe.

Red Hat und Google finden Lücke unabhängig voneinander

Wie die Google-Entwickler feststellten, war der Fehler im Bugtracker der Glibc bereits eingetragen. Allerdings ging aus der Beschreibung nicht hervor, dass es sich um eine kritische Lücke handelte.

Unabhängig von Google hatten die Red-Hat-Entwickler Carlos O'Donell und Florian Weimer die Lücke bereits untersucht. Gemeinsam haben die Entwickler von Red Hat und Google einen Patch geschrieben, der die Lücke schließt. Außerdem soll eine umfangreiche Testsuite dafür sorgen, dass ähnliche Fehler in Zukunft nicht erneut auftauchen.

Stack Overflow in der Funktion getaddrinfo()

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    5.-6. Juli 2021, online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
Weitere IT-Trainings

Der betreffende Code in der Funktion getaddrinfo() nutzt einen zwei Kilobyte großen Speicherbereich auf dem Stack, um DNS-Daten abzuspeichern. Sind die vom DNS-Server kommenden Daten größer als dieser Speicherbereich, sollte eigentlich ein entsprechend größerer Speicherbereich auf dem Heap angefordert und genutzt werden. Doch in dieser Funktionalität gab es einen Fehler, der in bestimmten Situationen dazu führt, dass zu viele Daten in den Stack-Speicherbereich geschrieben werden. Ein klassischer Stack Overflow also.

Ein Angreifer kann den DNS-Server für einen Host so konfigurieren, dass ein Client angegriffen wird, der versucht, diesen Hostnamen aufzulösen. Anschließend muss der Angreifer das Opfer dazu bringen, den entsprechenden DNS-Namen aufzulösen. Das ist in der Regel jedoch kein großes Problem. Da die Lücke darauf basiert, besonders große DNS-Pakete zu verschicken, kann eine Filterung von großen DNS-Antworten den Angriff verhindern.

Laut Google lässt sich die Lücke ausnutzen, um Code auszuführen. Allerdings ist die Ausnutzung nicht trivial. Die Speicherrandomisierung von Linux erschwert es Angreifern. Trotzdem gelang es den Google-Entwicklern, einen funktionierenden Exploit zu entwickeln. Veröffentlichen wollen sie diesen jedoch nicht, da er sich für Angriffe nutzen lässt. Ein Proof of Concept wurde auf Github veröffentlicht, er sorgt jedoch nur dafür, dass ein entsprechendes Testprogramm abstürzt.

Die Glibc ist die Standard-C-Bibliothek der meisten gängigen Linux-Systeme. Praktisch alle namhaften Linux-Distributionen wie Debian, Ubuntu und Red Hat sind somit betroffen. Unter anderen Systemen kommt die Glibc eher selten zum Einsatz. Android und auch einige Embedded-Linux-Systeme nutzen andere C-Standardbibliotheken.

Der Bug ist in allen Glibc-Releases seit der Version 2.9 vorhanden, die im Jahr 2008 veröffentlicht wurde. Linux-Nutzer sollten schnellstmöglich entsprechende Updates ihrer Distributionen installieren. Für alle wichtigen Distributionen sollten in Kürze aktualisierte Pakete bereitstehen. Die Lücke wird unter der Id CVE-2015-7547 geführt.

Erinnerungen an Ghost-Lücke

Der Glibc-Code für die Namensauflösung scheint anfällig für Sicherheitslücken zu sein: Bereits im vergangenen Jahr wurde eine Sicherheitslücke im Namensauflösungs-Code der Glibc entdeckt. Diese wurde unter dem Namen Ghost bekannt und betraf die Funktion gethostbyname().

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Der Nachfolger von Windows 10
Windows 11 ist da

Nun ist es offiziell: Microsoft kündigt das neue Windows 11 an. Vieles war bereits vorher bekannt, einiges Neues gibt es aber trotzdem.

Der Nachfolger von Windows 10: Windows 11 ist da
Artikel
  1. EE: Britische Netzbetreiber führen wieder Roaming ein
    EE
    Britische Netzbetreiber führen wieder Roaming ein

    Für britische Mobilfunk-Nutzer ist die Zeit des freien Telefonierens in der EU bald vorbei. EE und zuvor O2 und Three haben Einschränkungen angekündigt.

  2. Krypto-Betrug in Milliardenhöhe: Gründer von Africrypt stehlen 69.000 Bitcoin
    Krypto-Betrug in Milliardenhöhe
    Gründer von Africrypt stehlen 69.000 Bitcoin

    Die Gründer der Kryptoplattform Africrypt haben sich offenbar mit 69.000 gestohlenen Bitcoin abgesetzt. Der Betrug deutete sich schon vor Monaten an.

  3. Interview: Avatar und die global beleuchteten Mikrodetails von Pandora
    Interview
    Avatar und die global beleuchteten Mikrodetails von Pandora

    Waldplanet statt The Division: Golem.de hat mit dem Technik-Team von Avatar - Frontiers of Pandora über die Snowdrop-Engine gesprochen.
    Ein Interview von Peter Steinlechner

Malocher 18. Feb 2016

Hast Du vielleicht ein paar Links wo ich mir das anschauen kann? Klingt interessant. Das...

FreiGeistler 17. Feb 2016

Würdest du deinem OS eher vertrauen, wenn nur all Schaltjahr klammheimlich eine...

Nikolai 17. Feb 2016

So einen gebetsmühlenartigen Unsinn hat er wohl gemeint!

Tigtor 17. Feb 2016

Das war das was ich ausdrücken wollte, war wohl etwas unglücklich formuliert.

dantist 17. Feb 2016

Super, danke!


Folgen Sie uns
       


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Mega-Wiedereröffnung bei MediaMarkt - bis zu 30 Prozent Rabatt • Samsung SSD 980 Pro PCIe 4.0 1TB 166,59€ • Gigabyte M27Q 27" WQHD 170Hz 338,39€ • AMD Ryzen 5 5600X 251,59€ • Dualsense Midnight Black + R&C Rift Apart 99,99€ • Logitech Lenkrad-Sets zu Bestpreisen [Werbung]
    •  /