Kritische Lücke in zlib-Bibliothek ermöglicht Codeschmuggel
In der weit verbreiteten Kompressionsbibliothek zlib könnten Angreifer unter Umständen Schadcode einschleusen und ausführen. Erste Patches sind verfügbar.
(Bild: Shutterstock/chanpipat)
In der Bibliothek zlib, die Kompressionsfunktionen anbietet, wurde eine kritische Sicherheitslücke entdeckt. Angreifer könnten dadurch Code einschleusen und ausführen. Erste Patches stehen bereit, um die Lücke zu schließen. Einige Linux-Distributionen verteilen inzwischen aktualisierte Pakete.
Bis Version 1.2.12 enthält zlib dem Eintrag in der CVE-Datenbank zufolge einen Heap-basierten Pufferüberlauf in der Funktion inflateGetHeader aus inflate.c, den manipulierte Daten in einem Zusatzfeld in einem sogenannten "large gzip header" auslösen können. Dies betrifft jedoch nur Anwendungen, die inflateGetHeader aufrufen. Einige übliche Anwendungen bündelten zwar zlib, könnten die verwundbare Funktion jedoch gar nicht aufrufen, schränken die Autoren des Eintrags ein (CVE-2022-37434, CVSS 9.8, Risiko "kritisch").
Auswirkungen und Risiko: Uneindeutig
Die Einschränkungen scheinen die Einschätzungen der Auswirkungen und des Risikos zu beeinflussen. SuSE kommt in einer Sicherheitsmeldung zur Einschätzung, dass das Risiko lediglich hoch sei, mit einem CVSS-Wert von 8.1; aktualisierte Pakete stehen inzwischen bereit. Debian veröffentlicht auch direkt aktuelle Pakete, die die Schwachstelle abdichten. Dort gab es jedoch zunächst Probleme mit cURL, die aber inzwischen ebenfalls behoben wurden.
Fedora hingegen scheint zlib lediglich als Teil von rsync zu nutzen und liefert daher aktualisierte rsync-Paktete aus. Die Bedrohung durch die zlib-Lücke als Teil von rsync stufen die Redhat-Maintainer lediglich als mittel ein.
Da im CVE-Eintra selbst zudem ebenfalls ein Hinweis auf eine Re-Evaluierung der Sicherheitslücke steht, könnte sich die allgemeine Einschätzung noch ändern. Nichtsdestotrotz sollten Linux- und Unix-Administratoren zügig die Paketverwaltungen ihrer eingesetzten Distributionen starten und diese nach aktualisierten Paketen suchen lassen, um die Angriffsfläche zu minimieren.
Vor knapp einem halben Jahr hatte zuletzt der renommierte IT-Sicherheitsexperte Tavis Ormandy eine sehr alte Sicherheitslücke in zlib aufgespürt. Ormandy verwies damals auch auf das Problem der zahlreichen statisch integrierten zlib-Bibliotheken in anderen Software-Projekten, die Aktualisierungen dafür nötig machen – genau so, wie Fedora das nun mit rsync vorführt.
(dmk)
