Categories: Open SourceSoftware

Sicherheitsleck “Ghost” bedroht Linux-Systeme

Verschiedene Sicherheitsforscher melden eine kritische Schwachstelle in Linux. Zahlreiche Web- und Mail-Server und andere Linux-Systeme sind von ‘Ghost’, dem Leck in glibc library betroffen. Das ist eine zentrale Komponente von Linux-Systemen. Die GNU C Library  – kurz glibc – ist eine Implementierung der Standar-C-Library, ohne die Linux nicht funktionsfähig ist. Auch Sprachen wie Python oder Ruby, die ebenfalls diese Library nutzen, könnten betroffen sein. Angreifer können über das Leck CVE-2015-0235 damit die Kontrolle über ein System übernehmen. Den Namen hat der Schädling, weil über die GetHOST Funktion in __nss_hostname_digits_dots() ein Buffer-Overfolw provoziert werden kann.

Informationen zu diesem Bug wurden zu allererst – möglicherweise aus Versehen – über ein französische Mailingliste verbreitet.

Nun haben Sicherheitsforscher des Anbieters Qualys einen Proof-of-Concept-Exploit-Code veröffentlicht. Damit sollen sie in der Lage gewesen sein, einen Angriff auf den Exim-Mail-Server auszuführen. Dabei, so die Forscher in einem Blog, haben sie eine manipulierte Mail an den Mailserver geschickt und dabei auch gängige Sicherheitsmechanismen wie ASLR, PIE und NX umgangen haben. Durch die Mail konnten sie eine Remote Shell zu dem Linux-Server herstellen und haben damit die vollständige Kontrolle über das System erlangt. Das sei sowohl auf 32- wie auch auf 64-Bit-Rechnern möglich gewesen.

Allerdings scheint es sich nicht um einen einen Bug im herkömmlichen Sinne zu handeln, sondern die Sicherheitsexperten von Qualis sprechen von einem Implementierungs-Problem. Die älteste von diesem Problem betroffene Version der GNU C Library ist glibc-2.2, die am 10. November 2000 veröffentlicht wurde. Zwischen den Releases glibc-2.17 und glibc-2.18 im Mai 2013 wurde auch ein Fix für das Problem veröffentlicht. Allerdings sei dieser Fehler damals nicht als Sicherheitsproblem erkannt worden und somit sind es vor allem Langzeit-Support-Versionen wie Debian 7, Red Hat Enterprise Linux 6 und 7, CentOS 6 und 7 sowie neben weiteren auch Ubuntu 12.04. bei Suse Enterprise Linux sind alle Versionen bis Version 11 betroffen. OpenSuse 13.1 und 13.2 sind hingegen nicht betroffen, wie aus einem Advisory hervorgeht.

Noch ist die Bedrohung, die von Ghost ausgeht, überschaubar. Sollte es jedoch Hackern gelingen, einen Exploit zu entwickeln, könnte das weitreichende Folgen haben. (Bild: Qualys)

Die Experten von Qualys hatten bereits im Vorfeld ihrer Veröffentlichung den Fehler an die Distributoren gemeldet. Qualys werde nach gegebener Zeit auch den Exploit-Code veröffentlichen. Über das Qualys Vulnerability Management können Anwender testen, ob ihre Systeme verwundbar sind.

“Linux-basierte Geräte von einer Vielzahl von Anbietern sind betroffen, aber wie bei den meisten Schwachstellen auf Library-Ebene ist der genaue Angriffvektor noch weitgehend unbekannt”, so HD Moore, Chief Research Officer bei dem Sicherheitsanbieter Rapid7. Anwender sollten daher bei den entsprechenden Anbietern erfragen, ob ihre Systeme tatsächlich verwundbar sind.

Moore ruft daher auch zur Gelassenheit auf: “Dies bedeutet NICHT das Ende des Internets, wie wir es kennen, noch ist diese Sicherheitslücke ein weiterer Heartbleed-Fall.”

Neuere Anwendungen und auch IPv6 nutzen mit getaddrinfo() eine andere Technologie, diese Tatsache minimiere neben weiteren die Auswirkungen des Lecks, wie es im Advisory von Qaulys heißt. Zudem würden viele Programme vor allem SUID-Binaries gehtostbynabe() nur unter bestimmten und eher unwahrscheinlichen Fällen nutzen.

Moore schätzt, dass diese Schwachstelle im Allgemeinen nicht so einfach auszunutzen sei. Der Exim-Mailserver lasse sich jedoch offenbar leicht übernehmen. Sollten Hacker jedoch dazu übergehen die Lücke auszunutzen, “könnte das potenziell böse Folgen haben. Deshalb empfehlen wir sofortige Patches und einen Reboot. Ohne Reboot werden Services, die die alte Library verwenden, nicht neu gestartet werden.”

Daher, sei dieses Leck auch relativ schwierig zu beheben, kommentiert Matthias Geniar, Open-Source-Sicherheitsexperte bei Nucleus in einem Blog. “Das glibc Package wird von einer Menge laufender Services verwendet und jeder dieser Services muss nach dem Update neu gestartet werden.” Über den Befehl ” $ lsof | grep libc | awk ‘{print $1}’ | sort | uniq ” lassen sich alle offenen Dateien (lsof) mit Bezug zu libc auflisten.

“Patches für die verbreitetsten Linux Versionen werden gerade veröffentlicht und sollten unbedingt auf allen gefährdeten Systemen aufgespielt werden, die Services nutzen, welche über das Internet zugängig sind”, wendet Gavin Millard, EMEA Technical Director, Tenable Network Security, ein.  “Genauso wie zuvor bei ShellShock und Heartbleed, ist eine enorm große Zahl an Systemen anfällig für derartige Angriffe. Deshalb gilt es nun, alle betroffenen Systeme schnellstmöglich zu identifizieren und die Patches aufzuspielen, um die Gefahr eines Datenverlusts senken zu können.”

Millard glaubt, dass sich anfällige Glibc-Versionen sich wahrscheinlich auf fast jedem Linux Server befinden. Allerdings gibe es auch gute Nachrichten: “Ausgeschlossen sind allerdings kleinere, embedded Systeme, aufgrund der Größe von Glibc. Dies bedeutet glücklicherweise, dass die Millionen von IoT-Geräte (Internet of Things) und auch die Router in Privathaushalten, für die es keine oder sehr viel seltener Patches gibt, wahrscheinlich nicht davon betroffen sind.”

Von RedHat, Ubuntu und Debian liegen bereits Updates vor.

Redaktion

View Comments

  • Der Titel wie auch der Artikel sind z.T. irreführend. Es handelt sich NICHT um eine "kritische Schwachstelle in Linux".

    Es ist unrichtig, das Linux ohne die GLIBC nicht "lauffähig" ist - tatsächlich verwenden bei weitem nicht alle Linuxinstallationen oder Distributionen die GLIBC, sondern zB alternative Standardbibliotheken. Darüberhinaus gibt es noch andere Betriebssysteme, unter denen die GLIBC anwendungabhängig zum Einsatz kommt (z.B. die *BSDs ) und die GLIBC ist auch für Windows erhältlich wie dort anwendungsabhängig im Einsatz.

    Das "Sicherheitsproblem" betrifft zudem in der Praxis fast nur Anwendungen, die bis heute noch nicht auf die inzwischen den kritischen Teil ersetzenden API Calls zur Namens-/Hostauflösung aktualisiert worden sind.

Recent Posts

Alle Prozesse im Blick: IT-Service Management bei der Haspa

Wo es früher auf Buchhalter, Schreiber und Boten ankam, geht es heute vor allem um…

3 Stunden ago

Wie generative KI das Geschäft rund um den Black Friday verändert

Mit KI-Technologien lässt sich das Einkaufserlebnis personalisieren und der Service optimieren, sagt Gastautor Gabriel Frasconi…

3 Stunden ago

Banken und Versicherer sind KI-Großabnehmer

Ein Großteil der weltweiten KI-Gelder fließt in den Finanzsektor. 2023 wurden in der Branche 87…

24 Stunden ago

Siemens legt 10 Milliarden Dollar für Software-Spezialisten auf den Tisch

Die Übernahme des US-amerikanischen Anbieters Altair Engineering soll die Position im Markt für Computational Science…

1 Tag ago

Standortübergreifender KI-Einsatz im OP-Saal

Ein deutsch-französisches Projekt hat hybride Operationssäle entwickelt, die durch 5G-Netz und KI neue Anwendungen ermöglichen.

1 Tag ago

OT-Security braucht zunächst Asset-Transparenz

Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…

4 Tagen ago