• IT-Karriere:
  • Services:

Linux-Distributionen: Warum ein Sicherheitsfix drei Jahre nicht ankam

Ein Buffer Overflow in der Bibliothek Raptor zeigt, wie es bei Linux-Distributionen im Umgang mit Sicherheitslücken manchmal hakt.

Artikel von veröffentlicht am
Ein Bugfix für eine Sicherheitslücke in der von Libreoffice verwendeten Bibliothek Raptor kam über Jahre bei Linux-Anwendern nicht an.
Ein Bugfix für eine Sicherheitslücke in der von Libreoffice verwendeten Bibliothek Raptor kam über Jahre bei Linux-Anwendern nicht an. (Bild: Benjamint444, Wikimedia Commons/CC-BY-SA 3.0)

Eine Sicherheitslücke in der Bibliothek Raptor ist seit drei Jahren öffentlich bekannt, trotzdem dürften zahlreiche Linux-Anwender noch für das Problem anfällig sein. Denn der Patch, mit dem die Lücke geschlossen wird, kam in zahlreichen Linux-Distributionen über Jahre nicht an. Die bekannteste Anwendung, welche die Raptor-Bibliothek verwendet, ist Libreoffice.

Stellenmarkt
  1. Schleich GmbH, München
  2. embedded data GmbH, Saarlouis (Home-Office)

Raptor ist eine Bibliothek zum Lesen des RDF-Datenformats. RDF wird beispielsweise in Opendocument-Dateien genutzt, um bestimmte Metadaten zu speichern. Ich hatte 2017 mittels Fuzzing einen Buffer Overflow in der Bibliothek gefunden, der zu einer Heap-Corruption führt. So eine Lücke lässt sich potenziell nutzen, um eine bösartige Datei zu erstellen, die beim Öffnen Code auszuführt. Das Entwickeln eines solchen Exploits ist relativ komplex und aufwendig.

Lücke seit 2017 öffentlich

Die Lücke wurde an den Entwickler der Bibliothek gemeldet und kurz darauf auch im Git-Repository des Projekts geschlossen. Allerdings wurde seitdem kein neues Release der Software veröffentlicht. Die letzte Version ist von 2014.

Öffentlich bekannt ist die Lücke seit Juni 2017, ich hatte diese in einer Mail an die Mailingliste oss-security bekanntgegeben. Auf dieser Mailingliste lesen üblicherweise Personen von allen wichtigen Linux-Distributionen mit. Das Libreoffice-Projekt, das vorab informiert war, hatte in seinen eigenen Builds für Windows die Lücke geschlossen. Doch unter Linux verwendet Libreoffice üblicherweise die systemweit installierten Bibliotheken. Es ist hier also relevant, was die jeweiligen Linux-Distributionen ausliefern.

In den meisten Linux-Distributionen blieb die Lücke über Jahre offen. Debian und Ubuntu hatten erst nach einem erneuten Hinweis vor wenigen Tagen Updates herausgebracht. In Fedora wurde die Lücke Anfang diesen Jahres geschlossen, das entsprechende Update wurde aber nicht als Sicherheitsupdate markiert. In Opensuse ist die Lücke nach wie vor nicht geschlossen.

Theoretisch haben die meisten Linux-Distributionen den Anspruch, alle bekannten Sicherheitslücken zeitnah zu schließen und Sicherheitsupdates auch in teilweise recht alte Versionen der Distribution zurückzuportieren, die Langzeitunterstützung erhalten. Doch die Zahl der Sicherheitslücken ist oft so hoch, dass dies kaum noch praktikabel ist.

Fuzzing findet Tausende Bugs in einer Bibliothek

Im vergangenen Jahr wies Alex Gaynor auf der oss-security-Mailingliste darauf hin, dass in der Grafikbibliothek Imagemagick durch das oss-fuzz-Projekt von Google Tausende von Bugs gefunden wurden. Wie viele davon sicherheitskritisch sind, hat dabei niemand untersucht. Solche Mengen an Bugs zurückzuportieren oder auch nur im Detail zu analysieren ist für Linux-Distributionen kaum realistisch.

Doch in den meisten Fällen landen die Fixes mit Verzögerung trotzdem bei den Anwendern, sobald diese eine neue Version der jeweiligen Software verwenden. Imagemagick ist ein vergleichsweise aktives Projekt, das regelmäßig neue Versionen herausbringt. Im Fall von Raptor - einer Bibliothek, die zwar offenbar noch weiterentwickelt wird, aber keine neuen Versionen herausbringt - funktionierte das aber nicht.

Relevant ist hier auch die Rolle von CVE-Ids. Diese Kennungen werden von der Firma Mitre vergeben und sind ein weithin anerkannter Standard, um Sicherheitslücken mit einer eindeutigen Id zu versehen. Wenn eine CVE-Id vergeben wird, dann führt das meist dazu, dass die Lücke mehr Aufmerksamkeit erhält, Linux-Distributionen tracken etwa häufig, ob für eine CVE, die sie betrifft, bereits ein Update verfügbar ist.

Jedoch werden CVE-Ids längst nicht für alle Sicherheitslücken vergeben. Der Prozess, eine CVE-Kennung zu beantragen, funktioniert mal mehr und mal weniger gut und hat sich über die Jahre auch immer wieder verändert. Für die Raptor-Sicherheitslücke wurde zunächst keine CVE-Id vergeben, ich hatte diese erst vor kurzem beantragt. Inzwischen wird die Lücke als CVE-2017-18926 geführt.

Zuletzt stellt sich natürlich auch die Frage, wie viele weitere Sicherheitslücken in der Raptor-Bibliothek vorhanden sind. Ein kurzer Fuzzing-Test mit der aktuellen Git-Version fand relativ schnell einen Heap-Overread. Solche Bugs sind für sich genommen meist kein Sicherheitsproblem, sie können aber manchmal in einer Exploit-Chain ausgenutzt werden und sollten deshalb trotzdem korrigiert werden. Der entsprechende Bugreport ist bisher noch offen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 26,99€
  2. 8,99€
  3. 35,99€

nirgendwer 23. Nov 2020 / Themenstart

Öhm, natürlich haben sie Sicherheitsteams. Nicht nur Red Hat oder SUSE als kommerzielle...

Lachser 19. Nov 2020 / Themenstart

Ich kenne mich nicht gut aus mit diesen grossen Projekten. Ich könnte mir vorstellen...

superdachs 15. Nov 2020 / Themenstart

Was kann ein Distributor dafür wenn ein Entwickler zwar eine Lücke schließt dann aber...

Bigfoo29 14. Nov 2020 / Themenstart

Danke. Ich sehe es ähnlich. Jeder Commit ein Release ist affig. Kaputte Builds sollte man...

brejoc 14. Nov 2020 / Themenstart

Der Patch ist vor vier Tagen auf die Reise nach Factory gebracht worden. Damit dürfte es...

Kommentieren


Folgen Sie uns
       


Panasonic LUMIX DC-S5 im Hands on

Klein in der Hand, voll im Format - wir haben uns die neue Kamera von Panasonic angesehen.

Panasonic LUMIX DC-S5 im Hands on Video aufrufen
Star Wars: Darth-Vader-Darsteller Dave Prowse ist tot
Star Wars
Darth-Vader-Darsteller Dave Prowse ist tot

Er war einer der großen Stars der originalen Star-Wars-Trilogie und doch kaum jemandem bekannt. David Prowse ist im Alter von 85 Jahren gestorben.
Ein Nachruf von Peter Osteried

  1. Spaceballs Möge der Saft mit euch sein
  2. The Mandalorian Erste Folge der zweiten Staffel ist online
  3. Star Wars Disney und Lego legen Star Wars Holiday Special neu auf

iPhone 12 Mini im Test: Leistungsstark, hochwertig, winzig
iPhone 12 Mini im Test
Leistungsstark, hochwertig, winzig

Mit dem iPhone 12 Mini komplettiert Apple seine Auswahl an aktuellen iPhones für alle Geschmäcker: Auf 5,4 Zoll sind hochwertige technischen Finessen vereint, ein besseres kleines Smartphone gibt es nicht.
Ein Test von Tobias Költzsch

  1. Apple Bauteile des iPhone 12 kosten 313 Euro
  2. Touchscreen und Hörgeräte iOS 14.2.1 beseitigt iPhone-12-Fehler
  3. iPhone Magsafe ist nicht gleich Magsafe

No One Lives Forever: Ein Retrogamer stirbt nie
No One Lives Forever
Ein Retrogamer stirbt nie

Kompatibilitätsprobleme und schlimme Sprachausgabe - egal. Golem.de hat den 20 Jahre alten Shooter-Klassiker No One Lives Forever trotzdem neu gespielt.
Von Benedikt Plass-Fleßenkämper

  1. Heimcomputer Retro Games plant Amiga-500-Nachbau
  2. Klassische Spielkonzepte Retro, brandneu
  3. Gaming-Handheld Analogue Pocket erscheint erst 2021

    •  /