Glibc: Sicherheitslücke gefährdet fast alle Linux-Systeme

Diese Sicherheitslücke hat es in sich: Mittels gezielter DNS-Antworten lässt sich unter Umständen die Namensauflösungsfunktion der Glibc-Bibliothek dazu bringen, fremden Code auszuführen. Die Glibc ist die Standard-C-Bibliothek, die üblicherweise auf Linux-Systemen zum Einsatz kommt.

Das Sicherheitsteam von Google schreibt, dass es die Lücke eher zufällig gefunden habe. Der SSH-Client eines Google-Entwicklers sei mehrfach abgestürzt, wenn dieser versucht habe, sich mit einem bestimmten Host zu verbinden. Eine nähere Analyse habe ergeben, dass der Fehler nicht in SSH, sondern in der Glibc-Bibliothek des Systems gelegen habe.

Red Hat und Google finden Lücke unabhängig voneinander

Wie die Google-Entwickler feststellten, war der Fehler im Bugtracker der Glibc bereits eingetragen. Allerdings ging aus der Beschreibung nicht hervor, dass es sich um eine kritische Lücke handelte.

Unabhängig von Google hatten die Red-Hat-Entwickler Carlos O'Donell und Florian Weimer die Lücke bereits untersucht. Gemeinsam haben die Entwickler von Red Hat und Google einen Patch geschrieben, der die Lücke schließt. Außerdem soll eine umfangreiche Testsuite dafür sorgen, dass ähnliche Fehler in Zukunft nicht erneut auftauchen.

Stack Overflow in der Funktion getaddrinfo()

Der betreffende Code in der Funktion getaddrinfo() nutzt einen zwei Kilobyte großen Speicherbereich auf dem Stack, um DNS-Daten abzuspeichern. Sind die vom DNS-Server kommenden Daten größer als dieser Speicherbereich, sollte eigentlich ein entsprechend größerer Speicherbereich auf dem Heap angefordert und genutzt werden. Doch in dieser Funktionalität gab es einen Fehler, der in bestimmten Situationen dazu führt, dass zu viele Daten in den Stack-Speicherbereich geschrieben werden. Ein klassischer Stack Overflow also.

Ein Angreifer kann den DNS-Server für einen Host so konfigurieren, dass ein Client angegriffen wird, der versucht, diesen Hostnamen aufzulösen. Anschließend muss der Angreifer das Opfer dazu bringen, den entsprechenden DNS-Namen aufzulösen. Das ist in der Regel jedoch kein großes Problem. Da die Lücke darauf basiert, besonders große DNS-Pakete zu verschicken, kann eine Filterung von großen DNS-Antworten den Angriff verhindern.

Laut Google lässt sich die Lücke ausnutzen, um Code auszuführen. Allerdings ist die Ausnutzung nicht trivial. Die Speicherrandomisierung von Linux erschwert es Angreifern. Trotzdem gelang es den Google-Entwicklern, einen funktionierenden Exploit zu entwickeln. Veröffentlichen wollen sie diesen jedoch nicht, da er sich für Angriffe nutzen lässt. Ein Proof of Concept wurde auf Github veröffentlicht, er sorgt jedoch nur dafür, dass ein entsprechendes Testprogramm abstürzt.

Die Glibc ist die Standard-C-Bibliothek der meisten gängigen Linux-Systeme. Praktisch alle namhaften Linux-Distributionen wie Debian, Ubuntu und Red Hat sind somit betroffen. Unter anderen Systemen kommt die Glibc eher selten zum Einsatz. Android und auch einige Embedded-Linux-Systeme nutzen andere C-Standardbibliotheken.

Der Bug ist in allen Glibc-Releases seit der Version 2.9 vorhanden, die im Jahr 2008 veröffentlicht wurde. Linux-Nutzer sollten schnellstmöglich entsprechende Updates ihrer Distributionen installieren. Für alle wichtigen Distributionen sollten in Kürze aktualisierte Pakete bereitstehen. Die Lücke wird unter der Id CVE-2015-7547 geführt.

Erinnerungen an Ghost-Lücke

Der Glibc-Code für die Namensauflösung scheint anfällig für Sicherheitslücken zu sein: Bereits im vergangenen Jahr wurde eine Sicherheitslücke im Namensauflösungs-Code der Glibc entdeckt. Diese wurde unter dem Namen Ghost bekannt und betraf die Funktion gethostbyname().