|
Über die Sicherheitslücke mit dem Bezeichner CVE-2015-7547
kann ein Angreifer übers Netz das System übernehmen. Davon
sind nahezu alle Linux-Versionen
betroffen.
Über die Lücke in der weit verbreiteten System-Bibliothek
glibc reichen zwei speziell präparierte DNS-Pakete, um Server,
Desktops oder andere Geräte zu übernehmen. Dieser Fehler
wurde von mehreren Sicherheitsforschern bei Google und Red Hat entdeckt.
Es stehen bereits aktualisierte glibc-Pakete zum Update bereit und
sie sollten so schnell wie möglich eingespielt werden.
In der System-Funktion getaddrinfo(), die für das Auflösen
von Netzwerknamen über DNS zuständig ist, liegt der Fehler.
Ein Google-Techniker hatte merkwürdige Abstürze seines
SSH-Clients registriert, wenn er sich zu einem bestimmten Host zu
verbinden versuchte. Es stellte sich heraus, dass der Fehler nicht
im SSH-Programm lag, da auch andere Programme wie curl oder sudo
den Fehler auslösen können. Jedes Programm, das DNS-Namen
auflöst, kommt prinzipiell in Frage.
Die DNS-Antworten können unter speziellen Umständen einen
Pufferüberlauf auf dem Stack erzeugen. Dieser lässt sich
so ausnutzen, dass fremder Code eingeschleust und ausgeführt
werden kann. Dafür müssen allerdings systemeigene Schutzmechanismen
wie ASLR umgangen werden. Den Sicherheitsexperten von Google ist
dies gelungen und berichten
von einem erfolgreichen Exploit mit Remote Code Execution.
Um die Lücke auszunutzen, müssen Angreifer DNS-Anfragen
mit speziellen DNS-Paketen beantworten. Die regulären DNS-Antworten
können als Man-in-the-Middle manipuliert werden.
Bereits
seit Juli 2015 arbeiten die glibc-Entwickler offenbar an dem
Problem und erst jetzt stehen Updates bereits, die diese Lücke
schließen.
Die aktualisierten Pakete dürften sehr schnell von den Linux-Distributoren
bereitgestellt werden, die dann einfach über die Paketverwaltung
eingespielt werden können.
(ts, hannover)
(siehe auch heise-News-Ticker:)
Hannover · EDV-Beratung ·
Linux · Novell · Microsoft · Seminar ·
IT-Consult · Netzwerk · LPIC · CLE
|
