GHOST: Gefährliche Sicherheitslücke in Glibc

28.01.2015

In der C-Bibliothek Glibc wurde eine schwerwiegende Sicherheitslücke entdeckt, die es schon länger gibt, aber in vielen Distributionen nicht geschlossen wurde. 

Die Sicherheitsexperten der Firma Qualys haben eine Sicherheitslücke in der Linux-C-Runtime Glibc ausfindig gemacht. Dabei handelt sich um einen Heap Overflow, der beim Aufruf der Funktion "__nss_hostname_digits_dots()" auslösbar ist, die wiederum beispielsweise von "gethostbyname()" verwendet wird. Dem Sicherheitsleck mit dem Tracking-Code CVE-2015-0235 haben die Entdecker aufgrund der Verwundbarkeit per "gethostbyname()" den Namen GHOST gegeben. 

Mit einem geschickt manipulierten DNS-Eintrag lässt sich die Lücke unter Umständen auch ausnutzen, ohne dass Angreifer einen lokalen Account auf einem gefährdeten System besitzen. Das funktioniert nur bei Programmen, die auch die Library-Funktion "gethostbyname()" verwenden, die schon eine Zeit lang als veraltet gilt. Anwendungsentwicklern wird stattdessen schon länger empfohlen, die Funktion "getaddrinfo()" zu verwenden. Dennoch gibt es noch viele ältere Programme, die noch den alten Code verwenden, beispielsweise der Mailserver Exim, für den Qualys nach eigenen Aussagen einen Exploit besitzt, der demnächst veröffentlicht werden soll. 

Der Fehler ist in der Glibc schon seit der Version 2.2 vorhanden und wurde bereits 2013 von den Glibc-Entwicklern behoben. Dem Anschein nach wurde damals aber übersehen, dass es sich möglicherweise um eine Sicherheitslücke handelt und der Bugfix nicht in ältere Glibc-Releases zurückportiert. Deshalb sind zwar neuere Glibc-Versionen ab 2.18 sicher, aber insbesondere Linux-Distributionen mit Long Term Support, die ältere Glibc-Versionen mitbringen, gefährdet. Konkret sind dies beispielsweise Debian 7 (Wheezy), Red Hat Enterprise Linux 5/6/7 (siehe GHOST: glibc vulnerability (CVE-2015-0235)), CentOS 5/6/7, diverse Suse-Distros (siehe diese Liste) und Ubuntu 12.04. Für die betroffenen Distributionen gibt es Updates, die sich mit dem Paketmanager einspielen lassen. C-Quellcode, der prüft, ob eine Distribution verwundbar ist, enthält das Advisory auf der oss-sec-Mailingliste. 

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Updates schließen Glibc-Sicherheitslücke in Ubuntu und Debian

Updates für Debian und Ubuntu fixen die kürzlich bekannte gewordene kritische Sicherheitslücke in der C-Bibliothek.

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019