Abo
  • Services:
Anzeige
Curiosity benutzt den LZO-Algorithmus, in dem eine Sicherheitslücke gefunden wurde.
Curiosity benutzt den LZO-Algorithmus, in dem eine Sicherheitslücke gefunden wurde. (Bild: NASA)

Integer-Overflow: Sicherheitslücke in Kompressionsverfahren LZ4 und LZO

Im Code für die weit verbreiteten Kompressionsverfahren LZO und LZ4 ist eine Sicherheitslücke entdeckt worden. Das betrifft zahlreiche Anwendungen, darunter den Linux-Kernel, die Multimediabibliotheken FFmpeg und Libav sowie OpenVPN.

Anzeige

Der Linux-Kernel, die Multimedia-Bibliotheken FFmpeg und Libav, OpenVPN sowie zahlreiche weitere Anwendungen sind von einer Sicherheitslücke in den Kompressionsalgorithmen LZO und LZ4 betroffen. Veröffentlicht wurde die Lücke von Don Bailey von der Firma Lab Mouse Security. Sie lässt sich im Linux-Kernel vermutlich nur in seltenen Fällen ausnutzen. Bei FFmpeg und Libav ist das Problem gravierender.

Kompressionsverfahren 1994 entwickelt

LZO ist ein Kompressionsverfahren, 1994 vom Österreicher Markus Oberhumer entwickelt wurde. Es handelt sich dabei um eine Weiterentwicklung der Lempel-Ziv-Algorithmen LZ77 und LZ78. Oberhumer selbst hat eine C-Implementierung von LZO unter der GNU General Public License als freie Software veröffentlicht. LZ4 ist eine Weiterentwicklung des Codes von LZO.

LZO ist weit verbreitet. Laut dem Blogbeitrag bei Lab Mouse Security verwendete sogar der Mars-Rover Curiosity zur Datenübertragung diesen Kompressionsalgorithmus. Außerdem wird der Code von LZO und LZ4 von zahlreichen freien Softwareprojekten verwendet. Alle sind damit potentiell von der entdeckten Sicherheitslücke betroffen.

Im Linux-Kernel dürften die Konsequenzen jedoch überschaubar sein: Die Kompressionsverfahren werden meistens nur dafür verwendet, den Kernel selbst oder das sogenannte Initramfs zu komprimieren. In beiden Fällen hat ein Angreifer üblicherweise keine Möglichkeit, manipulierte komprimierte Daten vom Kernel dekomprimieren zu lassen. Bailey weist in seinem Blogeintrag darauf hin, dass die Ausführung von Code wahrscheinlich nicht möglich ist und 64-Bit-Systeme nicht betroffen sind.

Bei den Multimediabibliotheken FFmpeg und Libav sind die Konsequenzen gravierender: Hier ist die Ausführung von bösartigem Code möglich. Besonders gravierend ist es, wenn ein auf FFmpeg oder Libav basierender Videoplayer als Browserplugin eingesetzt wird. Bailey schreibt, dass bei manchen Linux-Distributionen Mplayer2 in der Standardinstallation samt passendem Browserplugin installiert wird.

Zur Ausnutzung der Sicherheitslücke in OpenVPN sind bislang keine Details bekannt. Weitere Programme, in denen der Code verwendet wird, sind unter anderem Grub und Busybox. Der Debian-Entwickler Yves-Alexis Perez hat eine umfangreiche Liste mit betroffenen Programmen erstellt.

Details zur Ausnutzung später

Don Bailey hat bislang keine Details zur Ausnutzung der Lücke bekanntgegeben. Er will damit warten, bis korrigierte Versionen von den meisten betroffenen Programmen zur Verfügung stehen.

Die Lücke im Kernel-Code haben die IDs CVE-2014-4611 (LZ4) und CVE-2014-4608 (LZO) erhalten. Die Lücke in FFmpeg hat die ID CVE-2014-4610, in Libav die ID CVE-2014-4609 und im originalen LZO-Code die ID CVE-2014-4607.

Der Linux-Kernel behebt die Sicherheitslücken sowohl im LZO als auch im LZ4-Code mit der Version 3.15.2. Vom originalen LZO-Code gibt es die korrigierte Version 2.07. Für den originalen LZ4-Code gibt es bislang keine Korrektur. Von FFmpeg wurde die korrigierte Version 2.2.4 veröffentlicht. In LibAV wurde der Fehler im Git-Repository behoben, eine neue Version gibt es jedoch noch nicht.

Nachtrag vom 27. Juni 2014, 11:12 Uhr

Der Entwickler des LZ4-Codes, Yann Collet, hat in seinem Blog auf die Sicherheitslücke reagiert. Er weist darauf hin, dass die Lücke ursprünglich nicht von Bailey, sondern von Ludvig Strigeus, dem Entwickler von µTorrent, entdeckt wurde. Außerdem sei der Fehler in LZ4 aufgrund der Blockgröße überhaupt nicht ausnutzbar, schreibt Collet. Trotzdem wurde der Fehler jetzt auch dort behoben.

Bailey kommentierte die Vorwürfe von Collet auf der Mailingliste oss-security und erläuterte, warum er die Sicherheitslücke für gravierender hielt. Außerdem lieferte er noch einen Beispiel-Exploit für den LZ4-Code im Linux-Kernel.


eye home zur Startseite
Nerd_vom_Dienst 27. Jun 2014

Seit anbeginn ist deine einzige Intension hier zu trollen, und nichtmal das kannst du...

nicoledos 27. Jun 2014

Mit derartigen Äußerungen würde ich vorsichtig sein. Selbst wenn ein Problem relativ...

maciej2maciek 27. Jun 2014

The example is flawed, because it supposes any program can access Linux Kernel...

hannob (golem.de) 27. Jun 2014

Ich hab einen Nachtrag für den Artikel verfasst. Bailey hat darauf inzwischen auch...

Galde 27. Jun 2014

Im Kernel 3.15.2 gibt es bereits Patches Quelle: https://www.kernel.org/pub/linux/kernel...



Anzeige

Stellenmarkt
  1. Pilz GmbH & Co. KG, Ostfildern bei Stuttgart
  2. ETAS GmbH & Co. KG, Stuttgart
  3. WALHALLA Fachverlag, Regensburg
  4. AKDB, München


Anzeige
Top-Angebote
  1. 499,99€ - Wieder bestellbar. Ansonsten gelegentlich bezügl. Verfügbarkeit auf der Bestellseite...
  2. 349€ inkl. Abzug (Vergleichspreis 452€)
  3. (u. a. Far Cry Primal Digital Apex Edition 22,99€, Total War: WARHAMMER 16,99€ und Total War...

Folgen Sie uns
       


  1. Fahrdienst

    London stoppt Uber, Protest wächst

  2. Facebook

    Mark Zuckerberg lenkt im Streit mit Investoren ein

  3. Merged-Reality-Headset

    Intel stellt Project Alloy ein

  4. Teardown

    Glasrückseite des iPhone 8 kann zum Problem werden

  5. E-Mail

    Adobe veröffentlicht versehentlich privaten PGP-Key im Blog

  6. Die Woche im Video

    Schwachstellen, wohin man schaut

  7. UAV

    Matternet startet Drohnenlieferdienst in der Schweiz

  8. Joint Venture

    Microsoft und Facebook verlegen Seekabel mit 160 Terabit/s

  9. Remote Forensics

    BKA kann eigenen Staatstrojaner nicht einsetzen

  10. Datenbank

    Börsengang von MongoDB soll 100 Millionen US-Dollar bringen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Olympus Tough TG5 vs. Nikon Coolpix W300: Die Schlechtwetter-Kameras
Olympus Tough TG5 vs. Nikon Coolpix W300
Die Schlechtwetter-Kameras
  1. Mobilestudio Pro 16 im Test Wacom nennt 2,2-Kilogramm-Grafiktablet "mobil"
  2. HP Z8 Workstation Mit 3 TByte RAM und 56 CPU-Kernen komplexe Bilder rendern
  3. Meeting Owl KI-Eule erkennt Teilnehmer in Meetings

E-Paper-Tablet im Test: Mit Remarkable machen digitale Notizen Spaß
E-Paper-Tablet im Test
Mit Remarkable machen digitale Notizen Spaß
  1. Smartphone Yotaphone 3 kommt mit großem E-Paper-Display
  2. Display E-Ink-Hülle für das iPhone 7

Parkplatz-Erkennung: Bosch und Siemens scheitern mit Pilotprojekten
Parkplatz-Erkennung
Bosch und Siemens scheitern mit Pilotprojekten
  1. Community based Parking Mercedes S-Klasse liefert Daten für Boschs Parkplatzsuche

  1. Naiv

    Pldoom | 05:17

  2. Bitte löschen.

    Pldoom | 05:16

  3. Re: Aber PGP ist schuld ...

    Pete Sabacker | 03:31

  4. Re: Wie sicher sind solche Qi-Spulen vor Attacken?

    Maatze | 02:48

  5. Re: "dem sei ohnehin nicht mehr zu helfen"

    LinuxMcBook | 02:45


  1. 15:37

  2. 15:08

  3. 14:28

  4. 13:28

  5. 11:03

  6. 09:03

  7. 17:43

  8. 17:25


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel