Sicherheitslücke in seti@home

Auch die Suche nach Außerirdischen kann offensichtlich den eigenen Rechner gefährden: In den Clients des Projekts seti@home wurde eine Sicherheitslücke durch einen möglichen Buffer Overflow gefunden.

In Pocket speichern vorlesen Druckansicht 205 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Jürgen Kuri

Auch die Suche nach Außerirdischen kann offensichtlich den eigenen Rechner gefährden: In den Clients des Projekts seti@home wurde eine Sicherheitslücke durch einen möglichen Buffer Overflow gefunden. Dadurch lässt sich auf den lokalen Servern durch Angreifer beliebiger Code ausführen. Laut dem Entdecker der Lücke, Berend-Jan Wever, dürften alle Client-Versionen davon betroffen sein; allerdings muss der Angreifer dem Client per Spoofing einen anderen Server als den offiziellen seti@home-Server unterschieben. Zusätzlich lässt sich das Leck auch über einen Proxy-Server oder einen Router ausnutzen.

Außerdem soll es einen entsprechenden Buffer Overflow in der Server-Software geben, der für eine DoS-Attacke ausgenutzt werden kann. Zusätzlich bemängelt Wever bei allen Clients, dass sie Informationen zum Prozessor- und Betriebssystemtyp des lokalen Rechners im Klartext über das Netz verschicken.

Mittlerweile gibt es ein Update auf Version 3.08 des seti@home-Clients für Windows und Mac OS, das zumindest die Sicherheitslücken durch die Buffer Overflows beheben soll. Die Kommandozeilen-Version für Linux und diverse Unix-Derivate ist auf der Download-Seite allerdings noch in der fehlerhaften Version 3.03 aufgeführt; zumindest für Linux und Solaris steht die Version 3.08 aber bereits auf dem FTP-Server des seti@home-Projekts bereit.

Mit dem an der Universität von Kalifornien in Berkeley entwickelten und von der Planetary Society unterstützten Programm werden die elektromagnetischen Signale, die das Radio-Teleskop in Arecibo, Puerto Rico, auffängt, einer genauen mathematischen Analyse unterzogen, um mögliche Signale von außerirdischen Zivilisationen aufzuspüren. Der erforderliche Rechenaufwand wird bewältigt, indem weltweit Internet-Nutzer ihre Rechner zur Verfügung stellen und die Rechenarbeit so in kleinen Paketen leisten. Im Juni 2002 hatte das Projekt auf diese Weise bereits eine Million Jahre CPU-Zeit verbraucht.

Wie Wever in seinem Advisory zu der Sicherheitslücke erklärt, wurden die Projektbetreiber bereits im Dezember vergangenen Jahres und im Januar erneut über die Probleme mit der Software informiert. Im Januar bestätigten die seti@home-Entwickler die Sicherheitslücke; nach Schwierigkeiten mit den Bugfixes für Windows wurden die aktualisierten Versionen nunmehr freigegeben. Zwar existiert für die Linux-Version des seti@home-Clients ein Exploit für die Sicherheitslücke, aber nach den Angaben der seti@home-Entwickler gab es bislang keine Angriffe, die versuchten, dieses Leck auszunutzen. (jk)