In der Standard-C-Bibliothek Glibc ist eine alte Sicherheitslücke erneut aufgetaucht (CVE-2015-0235). Diese beifndet sich in der Funtion gethostbyname(). Von ihren Entdeckern bei der Firma Qualys wurde die Lücke auf den Namen Ghost getauft. Dort wird die Lücke als "ernstes Risiko" beschrieben, als "kritisch" wird sie von Linux-Distributor Red Hat eingeschätzt. Allerdings sind nur eine begrenzte Anzahl von Linux-Distributionen und Programmen betroffen, welche ältere Software verwenden und ihre Pakete eher konservativ auswählen. Betroffene Distributionen arbeiten an Updates oder haben diese schon verteilt, woraus folgt, dass größtenteils nur Server-Systeme angreifbar sein dürften.

Die Lücke kann ausgenutzt werden, indem eine präparierte IP-Adresse an das betroffene System übergeben und so ein Pufferüberlauf ausgelöst wird. Durch diesen Überlauf kann Code zur Ausführung gebracht werden.

Die Funktion gethostbyname() ist veraltet und wurde bereits von anderen Funktionen abgelöst. Qualys präsentiert in seinem Advisory zu der Lücke einen Exploit für den Mailserver Exim - allerdings funktioniert dieser nicht in der Standardkonfiguration. Ebenso soll der Mailfilter procmail betroffen sein. Nicht angreifbar sind hingegen Dovecot, Postfix, sendmail, die Web-Server Nginx und Apache, Samba, NodeJS, GnuPG, MySQL und OpenSSH.

Betroffene Distributionen sind unter anderem CentOS 6 und 7, Ubuntu 12.04 LTS, Debian 7 (Wheezy) und Red Hat Enterprise Linux (RHEL) 6 und 7. Für Debian Wheezy arbeiten Entwickler bereits an entsprechenden Patches. Für Ubuntu 12.04 gibt es bereits ein Update und Red Hat hat ebenfalls damit begonnen, Patches zu verteilen.

Server-Betreibern wird empfohlen die verwundbaren Versionen von Glibc schnellstmöglich zu aktualisieren. Da Glibc ab Version 2.18 nicht mehr betroffen ist, sind Nutzer der gängigen Desktop-Distributionen in der Regel geschützt.

(nd, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE