• IT-Karriere:
  • Services:

Linux-Distributionen: Warum ein Sicherheitsfix drei Jahre nicht ankam

Ein Buffer Overflow in der Bibliothek Raptor zeigt, wie es bei Linux-Distributionen im Umgang mit Sicherheitslücken manchmal hakt.

Artikel von veröffentlicht am
Ein Bugfix für eine Sicherheitslücke in der von Libreoffice verwendeten Bibliothek Raptor kam über Jahre bei Linux-Anwendern nicht an.
Ein Bugfix für eine Sicherheitslücke in der von Libreoffice verwendeten Bibliothek Raptor kam über Jahre bei Linux-Anwendern nicht an. (Bild: Benjamint444, Wikimedia Commons/CC-BY-SA 3.0)

Eine Sicherheitslücke in der Bibliothek Raptor ist seit drei Jahren öffentlich bekannt, trotzdem dürften zahlreiche Linux-Anwender noch für das Problem anfällig sein. Denn der Patch, mit dem die Lücke geschlossen wird, kam in zahlreichen Linux-Distributionen über Jahre nicht an. Die bekannteste Anwendung, welche die Raptor-Bibliothek verwendet, ist Libreoffice.

Stellenmarkt
  1. DR. JOHANNES HEIDENHAIN GmbH, München
  2. Delta Energy Systems (Germany) GmbH, Soest

Raptor ist eine Bibliothek zum Lesen des RDF-Datenformats. RDF wird beispielsweise in Opendocument-Dateien genutzt, um bestimmte Metadaten zu speichern. Ich hatte 2017 mittels Fuzzing einen Buffer Overflow in der Bibliothek gefunden, der zu einer Heap-Corruption führt. So eine Lücke lässt sich potenziell nutzen, um eine bösartige Datei zu erstellen, die beim Öffnen Code auszuführt. Das Entwickeln eines solchen Exploits ist relativ komplex und aufwendig.

Lücke seit 2017 öffentlich

Die Lücke wurde an den Entwickler der Bibliothek gemeldet und kurz darauf auch im Git-Repository des Projekts geschlossen. Allerdings wurde seitdem kein neues Release der Software veröffentlicht. Die letzte Version ist von 2014.

Öffentlich bekannt ist die Lücke seit Juni 2017, ich hatte diese in einer Mail an die Mailingliste oss-security bekanntgegeben. Auf dieser Mailingliste lesen üblicherweise Personen von allen wichtigen Linux-Distributionen mit. Das Libreoffice-Projekt, das vorab informiert war, hatte in seinen eigenen Builds für Windows die Lücke geschlossen. Doch unter Linux verwendet Libreoffice üblicherweise die systemweit installierten Bibliotheken. Es ist hier also relevant, was die jeweiligen Linux-Distributionen ausliefern.

In den meisten Linux-Distributionen blieb die Lücke über Jahre offen. Debian und Ubuntu hatten erst nach einem erneuten Hinweis vor wenigen Tagen Updates herausgebracht. In Fedora wurde die Lücke Anfang diesen Jahres geschlossen, das entsprechende Update wurde aber nicht als Sicherheitsupdate markiert. In Opensuse ist die Lücke nach wie vor nicht geschlossen.

Theoretisch haben die meisten Linux-Distributionen den Anspruch, alle bekannten Sicherheitslücken zeitnah zu schließen und Sicherheitsupdates auch in teilweise recht alte Versionen der Distribution zurückzuportieren, die Langzeitunterstützung erhalten. Doch die Zahl der Sicherheitslücken ist oft so hoch, dass dies kaum noch praktikabel ist.

Fuzzing findet Tausende Bugs in einer Bibliothek

Im vergangenen Jahr wies Alex Gaynor auf der oss-security-Mailingliste darauf hin, dass in der Grafikbibliothek Imagemagick durch das oss-fuzz-Projekt von Google Tausende von Bugs gefunden wurden. Wie viele davon sicherheitskritisch sind, hat dabei niemand untersucht. Solche Mengen an Bugs zurückzuportieren oder auch nur im Detail zu analysieren ist für Linux-Distributionen kaum realistisch.

Doch in den meisten Fällen landen die Fixes mit Verzögerung trotzdem bei den Anwendern, sobald diese eine neue Version der jeweiligen Software verwenden. Imagemagick ist ein vergleichsweise aktives Projekt, das regelmäßig neue Versionen herausbringt. Im Fall von Raptor - einer Bibliothek, die zwar offenbar noch weiterentwickelt wird, aber keine neuen Versionen herausbringt - funktionierte das aber nicht.

Relevant ist hier auch die Rolle von CVE-Ids. Diese Kennungen werden von der Firma Mitre vergeben und sind ein weithin anerkannter Standard, um Sicherheitslücken mit einer eindeutigen Id zu versehen. Wenn eine CVE-Id vergeben wird, dann führt das meist dazu, dass die Lücke mehr Aufmerksamkeit erhält, Linux-Distributionen tracken etwa häufig, ob für eine CVE, die sie betrifft, bereits ein Update verfügbar ist.

Jedoch werden CVE-Ids längst nicht für alle Sicherheitslücken vergeben. Der Prozess, eine CVE-Kennung zu beantragen, funktioniert mal mehr und mal weniger gut und hat sich über die Jahre auch immer wieder verändert. Für die Raptor-Sicherheitslücke wurde zunächst keine CVE-Id vergeben, ich hatte diese erst vor kurzem beantragt. Inzwischen wird die Lücke als CVE-2017-18926 geführt.

Zuletzt stellt sich natürlich auch die Frage, wie viele weitere Sicherheitslücken in der Raptor-Bibliothek vorhanden sind. Ein kurzer Fuzzing-Test mit der aktuellen Git-Version fand relativ schnell einen Heap-Overread. Solche Bugs sind für sich genommen meist kein Sicherheitsproblem, sie können aber manchmal in einer Exploit-Chain ausgenutzt werden und sollten deshalb trotzdem korrigiert werden. Der entsprechende Bugreport ist bisher noch offen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Mobile-Angebote
  1. 499,90€
  2. 326,74€
  3. 206,10€ (mit Rabattcode "PFIFFIGER" - Bestpreis!)

nirgendwer 23. Nov 2020 / Themenstart

Öhm, natürlich haben sie Sicherheitsteams. Nicht nur Red Hat oder SUSE als kommerzielle...

Lachser 19. Nov 2020 / Themenstart

Ich kenne mich nicht gut aus mit diesen grossen Projekten. Ich könnte mir vorstellen...

superdachs 15. Nov 2020 / Themenstart

Was kann ein Distributor dafür wenn ein Entwickler zwar eine Lücke schließt dann aber...

Bigfoo29 14. Nov 2020 / Themenstart

Danke. Ich sehe es ähnlich. Jeder Commit ein Release ist affig. Kaputte Builds sollte man...

brejoc 14. Nov 2020 / Themenstart

Der Patch ist vor vier Tagen auf die Reise nach Factory gebracht worden. Damit dürfte es...

Kommentieren


Folgen Sie uns
       


iPhone 12 und iPhone 12 Pro - Fazit

Beim iPhone 12 und 12 Pro hat sich Apple vom bisherigen Design verabschiedet - im Test überzeugen Verarbeitung, Kamera und Display.

iPhone 12 und iPhone 12 Pro - Fazit Video aufrufen
Librem Mini v2 im Test: Der kleine Graue mit dem freien Bios
Librem Mini v2 im Test
Der kleine Graue mit dem freien Bios

Der neue Librem Mini eignet sich nicht nur perfekt für Linux, sondern hat als einer von ganz wenigen Rechnern die freie Firmware Coreboot und einen abgesicherten Bootprozess.
Ein Test von Moritz Tremmel

  1. Purism Neuer Librem Mini mit Comet Lake
  2. Librem 14 Purism-Laptops bekommen 6 Kerne und 14-Zoll-Display
  3. Librem Mini Purism bringt NUC-artigen Mini-PC

Macbook Air mit Apple Silicon im Test: Das beste Macbook braucht kein Intel
Macbook Air mit Apple Silicon im Test
Das beste Macbook braucht kein Intel

Was passiert, wenn Apple ein altbewährtes Chassis mit einem extrem potenten ARM-Chip verbindet? Es entsteht eines der besten Notebooks.
Ein Test von Oliver Nickel

  1. Apple Macbook Air (2020) im Test Weg mit der defekten Tastatur!
  2. Retina-Display Fleckige Bildschirme auch bei einigen Macbook Air
  3. iFixit Teardown Neue Tastatur macht das Macbook Air dicker

iPhone 12 Mini im Test: Leistungsstark, hochwertig, winzig
iPhone 12 Mini im Test
Leistungsstark, hochwertig, winzig

Mit dem iPhone 12 Mini komplettiert Apple seine Auswahl an aktuellen iPhones für alle Geschmäcker: Auf 5,4 Zoll sind hochwertige technischen Finessen vereint, ein besseres kleines Smartphone gibt es nicht.
Ein Test von Tobias Költzsch

  1. Apple Nutzer beklagen Netzabbrüche beim iPhone 12
  2. Apple Bauteile des iPhone 12 kosten 313 Euro
  3. Touchscreen und Hörgeräte iOS 14.2.1 beseitigt iPhone-12-Fehler

    •  /