Linux GHOST-Sicherheitslücke nicht gruselig

Originalartikel von Pawan Kinger, Director Deep Security Labs

Sicherheitsforscher von Qualys haben eine Schwachstelle in der GNU C-Bibliothek (auch als glibc bekannt) gefunden. Infolge dieser Lücke kann beliebiger Code auf Systemen mit verschiedenen Linux-Betriebssystemen ausgeführt werden. Die Schwachstelle (CVE-2015-0235) namens GHOST erweist sich bei näherer Analyse zwar als ernst, doch ist sie nicht so einfach zu missbrauchen, und bietet eine eingeschränkte Angriffsfläche.

GHOST ist eine Buffer Overflow-Lücke, die über den Aufruf der gethostbyname*()-Funktionen in glibc angestoßen wird. Diese Funktionen dienen der Auflösung von Domänennamen in IP-Adressen durch verschiedene Anwendungen. Theoretisch ist jede beliebige Anwendung, die diese Funktionen nutzt (praktisch nur die, die Online gehen) gefährdet.

Auf den ersten Blick scheint dies ein massives Sicherheitsproblem darzustellen. Doch glücklicherweise gibt es viele Faktoren, die das Risiko durch GHOST vermindern. Zum einen ist die Sicherheitslücke schon lange geschlossen worden. Das Problem tauchte bereits im Jahr 2000 in glibc auf und wurde im Mai 2003 behoben. Das bedeutet, dass viele neuere Linux-Systeme nie gefährdet waren.

Zum anderen sind nicht alle Anwendungen gleich bedroht. Die Ausnutzung ist sehr schwierig, denn ein Angreifer hat nur sehr wenig ursprünglichen Exploit-Code, den er nutzen kann, nämlich vier oder acht Bytes (abhängig davon, ob es ein 32- oder 64-Bit-System ist). Zusätzlicher Code muss erstellt werden, der an eine Adresse gesendet wird, die von einem Zeiger, den der Angreifer ändern kann, referenziert wird. Das aber bedeutet, dass viele Apps nicht gefährdet sind. Bislang haben die Trend Micro-Sicherheitsforscher keine potenziellen Webangriffsvektoren entdeckt, und das deutet auf eine erheblich reduzierte Angriffsfläche hin.

Schließlich sind die Funktionen, die diese Schwachstelle ausmachen, hinfällig. Sie können nicht dazu genutzt werden, um Domänennamen in IPv6-Adressen umzuwandeln. Neuere Anwendungen nutzen die getaddrinfo()-Funktion, die IPv6 unterstützt.

Insgesamt betrachtet ist das Risiko tatsächlicher Exploits für GHOST relativ gering im Vergleich zu anderen Schwachstellen wie Shellshock oder Heartbleed. Die zugrundeliegende Schwachstelle ist problematisch, doch die Verteidigung durch andere Hersteller bringt es mit sich, dass das tatsächliche Risiko klein ist. Bislang ist lediglich der Exim Mail Transfer Agent konkret in Gefahr, aus der Ferne angegriffen zu werden. Mit nur vier oder acht Bytes für den ursprünglichen Exploit-Vektor sind weitere Zugriffe stark vom Design und der Hauptspeichernutzung abhängig. Dies aber ist eine signifikante Hürde für den Exploit.

Das bedeutet aber nicht, dass Systemadministratoren das Problem ignorieren können, doch sollten sie in Ruhe und systematisch darauf reagieren. Linux-Distributionen haben Patches veröffentlicht, die die Version von glibc aktualisieren.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*