Schwachstelle in NASA-Bibliothek für das Common Data Format
In der Common-Data-Format-Bibliothek (CDF-library) der NASA kann eine Sicherheitslücke dazu führen, dass Angreifer mit präparierten CDF-Dateien Schadcode einschleusen.
In den von der NASA unter einer eigenen, aber OpenSource-kompatiblen Lizenz bereitgestellten Bibliotheken für das Common Data Format (CDF) können Angreifer eine Schwachstelle zum Einschleusen von Schadcode missbrauchen. Dazu müssen potenzielle Opfer lediglich eine präparierte CDF-Datei öffnen. Die CDF-Bibliothek wird vorrangig von Universitäten und Regierungsstellen genutzt.
Laut der Sicherheitsmeldung der NASA überprüft die Bibliothek in Versionen vor der jetzt veröffentlichten Fassung 3.2.1 die Längenangaben in CDF-Dateien vor Kopieroperationen nicht, sodass beim Verarbeiten manipulierter Dateien ein Pufferüberlauf auftreten kann. Dabei kann Code eingeschleust und im Kontext der Anwendung ausgeführt werden, die gegen die CDF-Library verlinkt ist.
Die NASA empfiehlt, keine Dateien aus dubiosen Quellen mit verwundbaren Versionen der Bibliothek zu öffnen. Insbesondere Server, die Dateien aus dem Netz annehmen und automatisch verarbeiten, sollten die Administratoren schleunigst patchen. Die aktualisierte Version 3.2.1 der CDF-Bibliothek sowie der Plug-ins etwa für Matlab stehen auf der Projektseite zum Download bereit.
Siehe dazu auch:
- Common Data Format (CDF) Version 3.2 and earlier Buffer Overflow Vulnerability, Sicherheitsmeldung der NASA
- NASA's Common Data Format buffer overflow, Fehlermeldung von Core Security
(dmk)
