Abo
  • Services:
Anzeige
Die Namensauflösung der Glibc lässt sich zum Absturz bringen - und mit viel Aufwand auch zum Ausführen von Code.
Die Namensauflösung der Glibc lässt sich zum Absturz bringen - und mit viel Aufwand auch zum Ausführen von Code. (Bild: Screenshot / Hanno Böck)

Glibc: Sicherheitslücke gefährdet fast alle Linux-Systeme

Die Namensauflösung der Glibc lässt sich zum Absturz bringen - und mit viel Aufwand auch zum Ausführen von Code.
Die Namensauflösung der Glibc lässt sich zum Absturz bringen - und mit viel Aufwand auch zum Ausführen von Code. (Bild: Screenshot / Hanno Böck)

Eine schwerwiegende Sicherheitslücke klafft in der Glibc-Bibliothek, die in fast allen Linux-Systemen genutzt wird: Eine DNS-Funktion erlaubt die Ausführung von bösartigem Code. Nutzer sollten schnellstmöglich Updates installieren.

Diese Sicherheitslücke hat es in sich: Mittels gezielter DNS-Antworten lässt sich unter Umständen die Namensauflösungsfunktion der Glibc-Bibliothek dazu bringen, fremden Code auszuführen. Die Glibc ist die Standard-C-Bibliothek, die üblicherweise auf Linux-Systemen zum Einsatz kommt.

Anzeige

Das Sicherheitsteam von Google schreibt, dass es die Lücke eher zufällig gefunden habe. Der SSH-Client eines Google-Entwicklers sei mehrfach abgestürzt, wenn dieser versucht habe, sich mit einem bestimmten Host zu verbinden. Eine nähere Analyse habe ergeben, dass der Fehler nicht in SSH, sondern in der Glibc-Bibliothek des Systems gelegen habe.

Red Hat und Google finden Lücke unabhängig voneinander

Wie die Google-Entwickler feststellten, war der Fehler im Bugtracker der Glibc bereits eingetragen. Allerdings ging aus der Beschreibung nicht hervor, dass es sich um eine kritische Lücke handelte.

Unabhängig von Google hatten die Red-Hat-Entwickler Carlos O'Donell und Florian Weimer die Lücke bereits untersucht. Gemeinsam haben die Entwickler von Red Hat und Google einen Patch geschrieben, der die Lücke schließt. Außerdem soll eine umfangreiche Testsuite dafür sorgen, dass ähnliche Fehler in Zukunft nicht erneut auftauchen.

Stack Overflow in der Funktion getaddrinfo()

Der betreffende Code in der Funktion getaddrinfo() nutzt einen zwei Kilobyte großen Speicherbereich auf dem Stack, um DNS-Daten abzuspeichern. Sind die vom DNS-Server kommenden Daten größer als dieser Speicherbereich, sollte eigentlich ein entsprechend größerer Speicherbereich auf dem Heap angefordert und genutzt werden. Doch in dieser Funktionalität gab es einen Fehler, der in bestimmten Situationen dazu führt, dass zu viele Daten in den Stack-Speicherbereich geschrieben werden. Ein klassischer Stack Overflow also.

Ein Angreifer kann den DNS-Server für einen Host so konfigurieren, dass ein Client angegriffen wird, der versucht, diesen Hostnamen aufzulösen. Anschließend muss der Angreifer das Opfer dazu bringen, den entsprechenden DNS-Namen aufzulösen. Das ist in der Regel jedoch kein großes Problem. Da die Lücke darauf basiert, besonders große DNS-Pakete zu verschicken, kann eine Filterung von großen DNS-Antworten den Angriff verhindern.

Laut Google lässt sich die Lücke ausnutzen, um Code auszuführen. Allerdings ist die Ausnutzung nicht trivial. Die Speicherrandomisierung von Linux erschwert es Angreifern. Trotzdem gelang es den Google-Entwicklern, einen funktionierenden Exploit zu entwickeln. Veröffentlichen wollen sie diesen jedoch nicht, da er sich für Angriffe nutzen lässt. Ein Proof of Concept wurde auf Github veröffentlicht, er sorgt jedoch nur dafür, dass ein entsprechendes Testprogramm abstürzt.

Die Glibc ist die Standard-C-Bibliothek der meisten gängigen Linux-Systeme. Praktisch alle namhaften Linux-Distributionen wie Debian, Ubuntu und Red Hat sind somit betroffen. Unter anderen Systemen kommt die Glibc eher selten zum Einsatz. Android und auch einige Embedded-Linux-Systeme nutzen andere C-Standardbibliotheken.

Der Bug ist in allen Glibc-Releases seit der Version 2.9 vorhanden, die im Jahr 2008 veröffentlicht wurde. Linux-Nutzer sollten schnellstmöglich entsprechende Updates ihrer Distributionen installieren. Für alle wichtigen Distributionen sollten in Kürze aktualisierte Pakete bereitstehen. Die Lücke wird unter der Id CVE-2015-7547 geführt.

Erinnerungen an Ghost-Lücke

Der Glibc-Code für die Namensauflösung scheint anfällig für Sicherheitslücken zu sein: Bereits im vergangenen Jahr wurde eine Sicherheitslücke im Namensauflösungs-Code der Glibc entdeckt. Diese wurde unter dem Namen Ghost bekannt und betraf die Funktion gethostbyname().


eye home zur Startseite
Malocher 18. Feb 2016

Hast Du vielleicht ein paar Links wo ich mir das anschauen kann? Klingt interessant. Das...

FreiGeistler 17. Feb 2016

Würdest du deinem OS eher vertrauen, wenn nur all Schaltjahr klammheimlich eine...

Nikolai 17. Feb 2016

So einen gebetsmühlenartigen Unsinn hat er wohl gemeint!

Tigtor 17. Feb 2016

Das war das was ich ausdrücken wollte, war wohl etwas unglücklich formuliert.

dantist 17. Feb 2016

Super, danke!



Anzeige

Stellenmarkt
  1. Comline AG, Dortmund
  2. BENTELER-Group, Düsseldorf
  3. OPITZ CONSULTING Deutschland GmbH, verschiedene Standorte
  4. LogPay Financial Services GmbH, Eschborn


Anzeige
Spiele-Angebote
  1. 9,99€
  2. 1,49€
  3. (u. a. Far Cry Primal Digital Apex Edition 22,99€, Total War: WARHAMMER 16,99€ und Total War...

Folgen Sie uns
       


  1. Fahrdienst

    London stoppt Uber, Protest wächst

  2. Facebook

    Mark Zuckerberg lenkt im Streit mit Investoren ein

  3. Merged-Reality-Headset

    Intel stellt Project Alloy ein

  4. Teardown

    Glasrückseite des iPhone 8 kann zum Problem werden

  5. E-Mail

    Adobe veröffentlicht versehentlich privaten PGP-Key im Blog

  6. Die Woche im Video

    Schwachstellen, wohin man schaut

  7. UAV

    Matternet startet Drohnenlieferdienst in der Schweiz

  8. Joint Venture

    Microsoft und Facebook verlegen Seekabel mit 160 Terabit/s

  9. Remote Forensics

    BKA kann eigenen Staatstrojaner nicht einsetzen

  10. Datenbank

    Börsengang von MongoDB soll 100 Millionen US-Dollar bringen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Optionsbleed: Apache-Webserver blutet
Optionsbleed
Apache-Webserver blutet
  1. Apache-Sicherheitslücke Optionsbleed bereits 2014 entdeckt und übersehen
  2. Open Source Projekt Oracle will Java EE abgeben

Lenovo Thinkstation P320 Tiny im Test: Viel Leistung in der Zigarrenschachtel
Lenovo Thinkstation P320 Tiny im Test
Viel Leistung in der Zigarrenschachtel
  1. Adware Lenovo zahlt Millionenstrafe wegen Superfish
  2. Lenovo Smartphone- und Servergeschäft sorgen für Verlust
  3. Lenovo Patent beschreibt selbstheilendes Smartphone-Display

Wireless Qi: Wie die Ikealampe das iPhone lädt
Wireless Qi
Wie die Ikealampe das iPhone lädt
  1. Noch kein Standard Proprietäre Airpower-Matte für mehrere Apple-Geräte

  1. Re: Wie sicher sind solche Qi-Spulen vor Attacken?

    TrudleR | 23:51

  2. Re: wie kommt ihr darauf, dass QI bei anderen...

    TrudleR | 23:36

  3. Akku. Standbyzeit

    AnDieLatte | 23:30

  4. Re: Typich das Veralten der Massen

    AnDieLatte | 23:26

  5. Re: hmmm

    AllDayPiano | 23:21


  1. 15:37

  2. 15:08

  3. 14:28

  4. 13:28

  5. 11:03

  6. 09:03

  7. 17:43

  8. 17:25


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel