Ghost: Uralte Lücke in Glibc bedroht Linux-Server
Eine fast 15 Jahre alte Lücke, die eigentlich 2013 geschlossen wurde, ist zurück und spukt vor allem auf Linux-Servern herum. Angreifer können hier über bösartige DNS-Antworten unter bestimmten Umständen Code ausführen.
- Fabian A. Scherschel
Eine Sicherheitslücke in der Standard-C-Bibliothek Glibc geistert gerade durch Nachrichtenfeeds und soziale Netze (CVE-2015-0235). Die Lücke wurde von ihren Entdeckern bei der Firma Qualys auf den Namen Ghost getauft, da sie in der Funktion gethostbyname() auftritt. Die Lücke wird von Qualys als "ernstes Risiko" beschrieben, Linux-Distributor Red Hat schätzt sie als "kritisch" ein. Betroffen sind allerdings nur eine begrenzte Anzahl von Programmen und Linux-Distributionen, die ihre Pakete eher konservativ auswählen und auf ältere Software setzen. Daraus folgt, dass eigentlich nur Server-Systeme angreifbar sein dürften. Betroffene Distributionen arbeiten an Updates oder haben diese schon verteilt.
Bedeutung des Uralt-Bugs verkannt
Die Lücke existiert seit Glibc 2.2 aus dem November 2000, als ein Bug in den Quellcode der Bibliothek eingebaut wurde. Das Problem wurde im Januar 2013 von einem Suse-Entwickler behoben, allerdings erst mal nicht als sicherheitskritisch erkannt. Glibc ist also ab Version 2.18 nicht mehr betroffen. Da die Brisanz des Problems allerdings unterschätzt wurde, wurde der Fix bei vielen Linux-Distributionen nicht in ältere Versionen der Software zurückgeportet. Google hatte den Fehler im April 2014 als Sicherheitsproblem erkannt und in Chrome OS geschlossen – warum die Firma zu diesem Zeitpunkt nicht mehr Aufhebens um die Lücke machte und die Glibc-Entwickler informierte, ist nicht bekannt.
Nur wenige Programme sind betroffen
Um die Sicherheitslücke zu missbrauchen muss ein Angreifer dem verwundbaren System eine präparierte IP-Adresse übergeben und so einen Pufferüberlauf auslösen. Der kann dann wiederum verwendet werden, um Code zur Ausführung zu bringen. Eigentlich ist gethostbyname() aber veraltet und wurde von anderen Funktionen abgelöst. In seinem Advisory zu der Lücke präsentiert Qualys einen Exploit für den Mailserver Exim, der allerdings nicht in der Standardkonfiguration funktioniert. Auch der Mailfilter procmail soll betroffen sein. Nicht angreifbar sind hingegen Postfix, sendmail, Dovecot sowie die Web-Server Apache und Nginx. Auch NodeJS, MySQL, OpenSSH, GnuPG und Samba sind gegen den Angriff geschützt.
Updates werden verteilt
Unter anderem sind die Distributionen Debian 7 (Wheezy), Red Hat Enterprise Linux (RHEL) 6 und 7, Ubuntu 12.04 LTS sowie CentOS 6 und 7 betroffen. Obwohl die Lücke verfrüht ans Licht der Öffentlichkeit gebracht und so die koordinierte Verbreitung der Exploit-Informationen durch Qualys gestört wurde, waren die meisten Linux-Entwickler vorbereitet.
Red Hat hat bereits damit begonnen, entsprechende Patches zu verteilen. Auch für Ubuntu 12.04 gibt es ein Update. Debian Wheezy ist momentan noch angreifbar, die Entwickler arbeiten aber bereits an entsprechenden Patches. Server-Betreiber, die verwundbare Versionen von Glibc einsetzen, sollten entsprechende Updates so schnell wie möglich einspielen. Nutzer der gängigen Desktop-Distributionen müssen sich keine Sorgen machen, diese verwenden in der Regel Versionen von Glibc, die der letzten verwundbaren Version 2.17 weit voraus sind.
[Update 28.01.2015 13:13]
Auch für Debian Wheezy gibt es Updates für die Lücke. Nutzer müssen allerdings das Security-Repo für Wheezy aktiviert haben, was generell eine gute Idee ist. (fab)
