Sicherheitslücke in Glibc gefährdet Linux-Systeme

17.02.2016

Ein Fehler im DNS-Code der C-Bibliothek eröffnet die Möglichkeit für Remote Exploits.

Security-Experten von Google und Red Hat haben eine Sicherheitslücke in der Glibc ausgemacht, der GNU-C-Library, die auf den meisten Linux-Distributionen verwendet wird. Es handelt sich um einen potenziellen Buffer Overflow im DNS-Resolver-Code. Mit entsprechend aufbereiteten DNS-Antworten können Angreifer damit auf dem Linux-System, das die Anfrage stellt, eigenen Code ausführen. Dazu müssen sie entweder einen eigenen DNS-Server betreiben oder als Man in the Middle DNS-Requests für andere Domains manipulieren. Fermin J. Serna von Google hat auf Github einen Proof of Concept veröffentlicht, um die Sicherheitslücke auszunutzen. 

Ein Patch für das Problem wurde auf der Glibc-Mailingliste gepostet. Updates des Glibc-Pakets gibt es bereits für Ubuntu 12.04 LTS, 14.04 LTS, 15.10, Debian Squeeze, Wheezy und Jessie, Red Hat Enterprise Linux 6 und 7 (RHEL 5 ist laut Red Hat vom Bug nicht betroffen), Suse Linux Enterprise Server 11 SP3 und SP4, Suse Linux Enterprise Server 12 (SP3) sowie CentOS 6 und 7. 

Mehr Informationen über den Bug mit der Kennung CVE-2015-7547 sind im Google-Security-Blog zu finden. 

Die folgenden Bugtracker liefern mehr Informationen zu den einzelnen Linux-Distributionen:

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

GHOST: Gefährliche Sicherheitslücke in Glibc

In der C-Bibliothek Glibc wurde eine schwerwiegende Sicherheitslücke entdeckt, die es schon länger gibt, aber in vielen Distributionen nicht geschlossen wurde. 

Artikel der Woche

Support-Ende von SMBv1

Mit dem aktuellen Update für Windows 10 und Windows Server 2016 steht eine Änderung ins Haus, die gerade für Benutzer älterer Linux-Distributionen große Auswirkungen hat. Nachdem Microsoft es über viele Jahre schon angekündigt hat, entfernt der Konzern mit dem aktuellen Update-Release den Support für das SMB-Protokoll 1. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Linux-Backup

Welche Backup-Lösung setzen Sie für Linux im professionellen Umfeld ein?

  • keine
  • eigene Scripts
  • rsnapshot
  • rdiff-backup
  • Bacula
  • Bareos
  • Borg
  • Duplicity
  • Amanda
  • Burp
  • Clonezilla
  • Acronis
  • Arkeia
  • SEP sesam
  • Veeam
  • Redo Backup
  • Relax-and-Recover
  • andere kommerzielle Software
  • andere Open-Source-Software

Google+

Ausgabe /2017

Microsite