Gravierende Lücke in GNU-C-Bibliothek entdeckt
Die Anfälligkeit steckt in der Bibliothek Glibc ab Version 2.9. Durch einen Pufferüberlauf im client-seitigen DNS-Resolver erlaubt sie das Einschleusen und Ausführen von Schadcode. Mittlerweile steht Beispielcode für einen Exploit, aber auch ein Patch bereit.
Googles Sicherheitsexperten haben auf eine schwerwiegende Schwachstelle in der GNU-C-Bibliothek (Glibc) hingewiesen, die zahlreiche Linux-Anwender bedroht. Die Lücke findet sich ab Version 2.9, welche ab 2008 veröffentlicht wurde. Offenbar ermöglicht ein Stack-basierender Pufferüberlauf im client-seitigen DNS-Resolver das Einschleusen und Ausführen von Schadcode, nachdem die Funktion “getaddrinfo” aufgerufen wurde. Kaspersky geht davon aus, dass alle Linux-Server und auch Web-Frameworks wie Rails, PHP und Python betroffen sind. Auch zahlreiche Android-Apps sollen die GNU-C-Bibliothek verwenden und damit angreifbar sein.
Glibc ist eine Implementierung der Standard C Library und definiert Systemaufrufe sowie weitere grundlegende Funktionen von Linux-Systemen, wie Computerworld berichtet. Anfang 2015 war die Bibliothek auch für die Ghost genannte Schwachstelle in der GetHOST-Funktion verantwortlich, die Attacken auf Mail- und Web-Server sowie praktisch alle Linux-Distributionen ermöglichte.
Den für die Bibliothek zuständigen Entwicklern war der Fehler erstmals im Juli 2015 gemeldet worden. Unklar ist dem Bericht zufolge, ob zu dem Zeitpunkt irgendwelche Gegenmaßnahmen entwickelt wurden. Anfang der Woche hätten schließlich Forscher von Google und Red Hat unabhängig voneinander die Anfälligkeit erneut gemeldet. Inzwischen stehe aber nicht nur Beispielcode für einen Exploit, sondern auch ein Patch zur Verfügung.
“Unsere Untersuchungen haben gezeigt, dass das Problem alle Versionen von Glibc seit 2.9 betrifft”, schreiben Fermin J. Serna, Staff Security Engineer bei Google, und sein Kollege Kevin Stadmeyer. “Sie sollten definitiv ein Update durchführen, wenn Sie eine ältere Version haben.”
Nutzern, die den Patch nicht einspielen können, bietet Google auch eine Behelfslösung an. Da die Anfälligkeit auf übergroßen UDP- oder TCP-Antworten basiert, ist es möglich, die Paketgrößen, die der DNS Resolver lokal akzeptiert, zu beschränken. Dabei muss laut Google aber sichergestellt sein, dass alle DNS-Anfragen nur an den Server geschickt werden, der die Größe der Antworten limitiert.
[mit Material von Stefan Beiersmann, ZDNet.de]
<!– Tipp: Windows 7, Mac OS X, Ubuntu, … Kennen Sie die Unterschiede zwischen den wichtigsten Betriebssystemen? Testen Sie Ihr Wissen – mit 15 Fragen auf ITespresso. –>Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.