Linux-Distributionen: Warum ein Sicherheitsfix drei Jahre nicht ankam

Eine Sicherheitslücke in der Bibliothek Raptor ist seit drei Jahren öffentlich bekannt, trotzdem dürften zahlreiche Linux-Anwender noch für das Problem anfällig sein. Denn der Patch, mit dem die Lücke geschlossen wird, kam in zahlreichen Linux-Distributionen über Jahre nicht an. Die bekannteste Anwendung, welche die Raptor-Bibliothek verwendet, ist Libreoffice.

Stellenmarkt

1. IT Projektmanager (w/m/d) internationaler Großkunde im E-Commerce
   Bechtle direct GmbH, Neckarsulm
2. Projektmanager*in (w/m/d) Datenmanagement für On-Demand-Angebote
   Berliner Verkehrsbetriebe (BVG), Berlin

Detailsuche

Raptor ist eine Bibliothek zum Lesen des RDF-Datenformats. RDF wird beispielsweise in Opendocument-Dateien genutzt, um bestimmte Metadaten zu speichern. Ich hatte 2017 mittels Fuzzing einen Buffer Overflow in der Bibliothek gefunden, der zu einer Heap-Corruption führt. So eine Lücke lässt sich potenziell nutzen, um eine bösartige Datei zu erstellen, die beim Öffnen Code auszuführt. Das Entwickeln eines solchen Exploits ist relativ komplex und aufwendig.

Lücke seit 2017 öffentlich

Die Lücke wurde an den Entwickler der Bibliothek gemeldet und kurz darauf auch im Git-Repository des Projekts geschlossen. Allerdings wurde seitdem kein neues Release der Software veröffentlicht. Die letzte Version ist von 2014.

Öffentlich bekannt ist die Lücke seit Juni 2017, ich hatte diese in einer Mail an die Mailingliste oss-security bekanntgegeben. Auf dieser Mailingliste lesen üblicherweise Personen von allen wichtigen Linux-Distributionen mit. Das Libreoffice-Projekt, das vorab informiert war, hatte in seinen eigenen Builds für Windows die Lücke geschlossen. Doch unter Linux verwendet Libreoffice üblicherweise die systemweit installierten Bibliotheken. Es ist hier also relevant, was die jeweiligen Linux-Distributionen ausliefern.

Golem Akademie

1. Unreal Engine 4 Grundlagen: virtueller Drei-Tage-Workshop
   28. Februar–2. März 2022, Virtuell
2. Elastic Stack Fundamentals – Elasticsearch, Logstash, Kibana, Beats: virtueller Drei-Tage-Workshop
   15.–17. März 2022, Virtuell

Weitere IT-Trainings

In den meisten Linux-Distributionen blieb die Lücke über Jahre offen. Debian und Ubuntu hatten erst nach einem erneuten Hinweis vor wenigen Tagen Updates herausgebracht. In Fedora wurde die Lücke Anfang diesen Jahres geschlossen, das entsprechende Update wurde aber nicht als Sicherheitsupdate markiert. In Opensuse ist die Lücke nach wie vor nicht geschlossen.

Theoretisch haben die meisten Linux-Distributionen den Anspruch, alle bekannten Sicherheitslücken zeitnah zu schließen und Sicherheitsupdates auch in teilweise recht alte Versionen der Distribution zurückzuportieren, die Langzeitunterstützung erhalten. Doch die Zahl der Sicherheitslücken ist oft so hoch, dass dies kaum noch praktikabel ist.

Fuzzing findet Tausende Bugs in einer Bibliothek

Im vergangenen Jahr wies Alex Gaynor auf der oss-security-Mailingliste darauf hin, dass in der Grafikbibliothek Imagemagick durch das oss-fuzz-Projekt von Google Tausende von Bugs gefunden wurden. Wie viele davon sicherheitskritisch sind, hat dabei niemand untersucht. Solche Mengen an Bugs zurückzuportieren oder auch nur im Detail zu analysieren ist für Linux-Distributionen kaum realistisch.

Doch in den meisten Fällen landen die Fixes mit Verzögerung trotzdem bei den Anwendern, sobald diese eine neue Version der jeweiligen Software verwenden. Imagemagick ist ein vergleichsweise aktives Projekt, das regelmäßig neue Versionen herausbringt. Im Fall von Raptor - einer Bibliothek, die zwar offenbar noch weiterentwickelt wird, aber keine neuen Versionen herausbringt - funktionierte das aber nicht.

Relevant ist hier auch die Rolle von CVE-Ids. Diese Kennungen werden von der Firma Mitre vergeben und sind ein weithin anerkannter Standard, um Sicherheitslücken mit einer eindeutigen Id zu versehen. Wenn eine CVE-Id vergeben wird, dann führt das meist dazu, dass die Lücke mehr Aufmerksamkeit erhält, Linux-Distributionen tracken etwa häufig, ob für eine CVE, die sie betrifft, bereits ein Update verfügbar ist.

Jedoch werden CVE-Ids längst nicht für alle Sicherheitslücken vergeben. Der Prozess, eine CVE-Kennung zu beantragen, funktioniert mal mehr und mal weniger gut und hat sich über die Jahre auch immer wieder verändert. Für die Raptor-Sicherheitslücke wurde zunächst keine CVE-Id vergeben, ich hatte diese erst vor kurzem beantragt. Inzwischen wird die Lücke als CVE-2017-18926 geführt.

Zuletzt stellt sich natürlich auch die Frage, wie viele weitere Sicherheitslücken in der Raptor-Bibliothek vorhanden sind. Ein kurzer Fuzzing-Test mit der aktuellen Git-Version fand relativ schnell einen Heap-Overread. Solche Bugs sind für sich genommen meist kein Sicherheitsproblem, sie können aber manchmal in einer Exploit-Chain ausgenutzt werden und sollten deshalb trotzdem korrigiert werden. Der entsprechende Bugreport ist bisher noch offen.