Abo
  • Services:
Anzeige
Die Namensauflösung der Glibc lässt sich zum Absturz bringen - und mit viel Aufwand auch zum Ausführen von Code.
Die Namensauflösung der Glibc lässt sich zum Absturz bringen - und mit viel Aufwand auch zum Ausführen von Code. (Bild: Screenshot / Hanno Böck)

Glibc: Sicherheitslücke gefährdet fast alle Linux-Systeme

Die Namensauflösung der Glibc lässt sich zum Absturz bringen - und mit viel Aufwand auch zum Ausführen von Code.
Die Namensauflösung der Glibc lässt sich zum Absturz bringen - und mit viel Aufwand auch zum Ausführen von Code. (Bild: Screenshot / Hanno Böck)

Eine schwerwiegende Sicherheitslücke klafft in der Glibc-Bibliothek, die in fast allen Linux-Systemen genutzt wird: Eine DNS-Funktion erlaubt die Ausführung von bösartigem Code. Nutzer sollten schnellstmöglich Updates installieren.

Diese Sicherheitslücke hat es in sich: Mittels gezielter DNS-Antworten lässt sich unter Umständen die Namensauflösungsfunktion der Glibc-Bibliothek dazu bringen, fremden Code auszuführen. Die Glibc ist die Standard-C-Bibliothek, die üblicherweise auf Linux-Systemen zum Einsatz kommt.

Anzeige

Das Sicherheitsteam von Google schreibt, dass es die Lücke eher zufällig gefunden habe. Der SSH-Client eines Google-Entwicklers sei mehrfach abgestürzt, wenn dieser versucht habe, sich mit einem bestimmten Host zu verbinden. Eine nähere Analyse habe ergeben, dass der Fehler nicht in SSH, sondern in der Glibc-Bibliothek des Systems gelegen habe.

Red Hat und Google finden Lücke unabhängig voneinander

Wie die Google-Entwickler feststellten, war der Fehler im Bugtracker der Glibc bereits eingetragen. Allerdings ging aus der Beschreibung nicht hervor, dass es sich um eine kritische Lücke handelte.

Unabhängig von Google hatten die Red-Hat-Entwickler Carlos O'Donell und Florian Weimer die Lücke bereits untersucht. Gemeinsam haben die Entwickler von Red Hat und Google einen Patch geschrieben, der die Lücke schließt. Außerdem soll eine umfangreiche Testsuite dafür sorgen, dass ähnliche Fehler in Zukunft nicht erneut auftauchen.

Stack Overflow in der Funktion getaddrinfo()

Der betreffende Code in der Funktion getaddrinfo() nutzt einen zwei Kilobyte großen Speicherbereich auf dem Stack, um DNS-Daten abzuspeichern. Sind die vom DNS-Server kommenden Daten größer als dieser Speicherbereich, sollte eigentlich ein entsprechend größerer Speicherbereich auf dem Heap angefordert und genutzt werden. Doch in dieser Funktionalität gab es einen Fehler, der in bestimmten Situationen dazu führt, dass zu viele Daten in den Stack-Speicherbereich geschrieben werden. Ein klassischer Stack Overflow also.

Ein Angreifer kann den DNS-Server für einen Host so konfigurieren, dass ein Client angegriffen wird, der versucht, diesen Hostnamen aufzulösen. Anschließend muss der Angreifer das Opfer dazu bringen, den entsprechenden DNS-Namen aufzulösen. Das ist in der Regel jedoch kein großes Problem. Da die Lücke darauf basiert, besonders große DNS-Pakete zu verschicken, kann eine Filterung von großen DNS-Antworten den Angriff verhindern.

Laut Google lässt sich die Lücke ausnutzen, um Code auszuführen. Allerdings ist die Ausnutzung nicht trivial. Die Speicherrandomisierung von Linux erschwert es Angreifern. Trotzdem gelang es den Google-Entwicklern, einen funktionierenden Exploit zu entwickeln. Veröffentlichen wollen sie diesen jedoch nicht, da er sich für Angriffe nutzen lässt. Ein Proof of Concept wurde auf Github veröffentlicht, er sorgt jedoch nur dafür, dass ein entsprechendes Testprogramm abstürzt.

Die Glibc ist die Standard-C-Bibliothek der meisten gängigen Linux-Systeme. Praktisch alle namhaften Linux-Distributionen wie Debian, Ubuntu und Red Hat sind somit betroffen. Unter anderen Systemen kommt die Glibc eher selten zum Einsatz. Android und auch einige Embedded-Linux-Systeme nutzen andere C-Standardbibliotheken.

Der Bug ist in allen Glibc-Releases seit der Version 2.9 vorhanden, die im Jahr 2008 veröffentlicht wurde. Linux-Nutzer sollten schnellstmöglich entsprechende Updates ihrer Distributionen installieren. Für alle wichtigen Distributionen sollten in Kürze aktualisierte Pakete bereitstehen. Die Lücke wird unter der Id CVE-2015-7547 geführt.

Erinnerungen an Ghost-Lücke

Der Glibc-Code für die Namensauflösung scheint anfällig für Sicherheitslücken zu sein: Bereits im vergangenen Jahr wurde eine Sicherheitslücke im Namensauflösungs-Code der Glibc entdeckt. Diese wurde unter dem Namen Ghost bekannt und betraf die Funktion gethostbyname().


eye home zur Startseite
Malocher 18. Feb 2016

Hast Du vielleicht ein paar Links wo ich mir das anschauen kann? Klingt interessant. Das...

FreiGeistler 17. Feb 2016

Würdest du deinem OS eher vertrauen, wenn nur all Schaltjahr klammheimlich eine...

Nikolai 17. Feb 2016

So einen gebetsmühlenartigen Unsinn hat er wohl gemeint!

Tigtor 17. Feb 2016

Das war das was ich ausdrücken wollte, war wohl etwas unglücklich formuliert.

dantist 17. Feb 2016

Super, danke!



Anzeige

Stellenmarkt
  1. Schaeffler Automotive Aftermarket GmbH & Co. KG, Langen
  2. Daimler AG, Böblingen
  3. Harvey Nash GmbH, Frankfurt am Main oder Berlin
  4. Paco, Eschweiler


Anzeige
Blu-ray-Angebote
  1. 29,99€ (Vorbesteller-Preisgarantie)
  2. (u. a. Reign, Person of Interest, Gossip Girl, The Clone Wars)
  3. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)

Folgen Sie uns
       


  1. Alphabet

    Google Gewinn geht wegen EU-Strafe zurück

  2. Microsoft

    Nächste Hololens nutzt Deep-Learning-Kerne

  3. Schwerin

    Livestream-Mitschnitt des Stadtrats kostet 250.000 Euro

  4. Linux-Distributionen

    Mehr als 90 Prozent der Debian-Pakete reproduzierbar

  5. Porsche Design

    Huaweis Porsche-Smartwatch kostet 800 Euro

  6. Smartphone

    Neues Huawei Y6 für 150 Euro bei Aldi erhältlich

  7. Nahverkehr

    18 jähriger E-Ticket-Hacker in Ungarn festgenommen

  8. Bundesinnenministerium

    Neues Online-Bürgerportal kostet 500 Millionen Euro

  9. Linux-Kernel

    Android O filtert Apps großzügig mit Seccomp

  10. Computermuseum Stuttgart

    Als Computer noch ganze Räume füllten



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
IETF Webpackage: Wie das Offline-Internet auf SD-Karte kommen könnte
IETF Webpackage
Wie das Offline-Internet auf SD-Karte kommen könnte
  1. IETF Netzwerker wollen Quic-Pakete tracken
  2. IETF DNS wird sicher, aber erst später
  3. IETF Wie TLS abgehört werden könnte

Gaming-Monitor Viewsonic XG 2530 im Test: 240 Hertz, an die man sich gewöhnen kann
Gaming-Monitor Viewsonic XG 2530 im Test
240 Hertz, an die man sich gewöhnen kann
  1. LG 43UD79-B LG bringt Monitor mit 42,5-Zoll-Panel für vier Signalquellen
  2. SW271 Benq bringt HDR-Display mit 10-Bit-Panel
  3. Gaming-Bildschirme Freesync-Displays von Iiyama und Viewsonic

Moto Z2 Play im Test: Bessere Kamera entschädigt nicht für kürzere Akkulaufzeit
Moto Z2 Play im Test
Bessere Kamera entschädigt nicht für kürzere Akkulaufzeit
  1. Modulares Smartphone Moto Z2 Play kostet mit Lautsprecher-Mod 520 Euro
  2. Lenovo Hochleistungs-Akku-Mod für Moto Z
  3. Moto Z Schiebetastatur-Mod hat Finanzierungsziel erreicht

  1. Re: Wie die Arbeitsamtseiten kostet Million geht...

    TheArchive | 23:09

  2. Re: Eine Beleidigung für echte Fotografen

    DetlevCM | 23:06

  3. Einsteiger...

    MeinSenf | 23:06

  4. Re: Steuergelder = Quellcode offenlegen

    TheArchive | 23:06

  5. Re: Soll das ein Witz sein?!

    Libertybell | 23:02


  1. 22:48

  2. 16:37

  3. 16:20

  4. 15:50

  5. 15:35

  6. 14:30

  7. 14:00

  8. 13:29


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel