Linux GNU C Library: Worin besteht die Sicherheitslücke, was ist zu tun?

Originalartikel von William Gamazo Sanchez, Vulnerability Research, und Suraj Sahu, Vulnerability Research

Vor ein paar Tagen kündigten die Verwalter der quelloffenen Bibliothek für Linux-Systeme GNU C Library (bekannt als glibc) einen Patch für eine Sicherheitslücke, die Systeme für Buffer Overflow-Angriffe anfällig macht, an. Angreifer könnten darüber bösartigen Code auf einem Linux-System ausführen.
Worin besteht die Sicherheitslücke

Die Lücke (CVE-2015-7547) kann angesprochen werden, wenn eine Anwendung, die glibc nutzt, eine DNS-Anfrage stellt. Der glibc DNS Client Resolver ist auf Stack-basierten Buffer Overflow anfällig, wenn die Funktion getaddrinfo() verwendet wird. Eine nicht korrekt formatierte Antwort auf diese Funktion verursacht einen Overflow.

Es gibt mehrere Möglichkeiten dafür, dass das Zielsystem eine bösartige Antwort erhält:

  • Das Zielsystem könnte eine DNS-Anfrage für eine Domäne stellen, die von den Angreifern kontrolliert wird;
  • Das Zielsystem könnte einen bösartigen DNS-Server kontaktieren;
  • Die DNS-Antwort könnte unterwegs über einen Man-in-the-Middle-Angriff geändert worden sein.

Die Auswirkungen

Jede, mit dem Internet verbundene Linux-Maschine ist theoretisch gefährdet. Ein Angreifer könnte die Sicherheitslücke ausnutzen, um bösartigen Code auf einem Linux-System auszuführen. Doch bislang gibt es keinen bekannten Exploit-Code, der dies tut.

Diese Lücke ist längst nicht so dramatisch wie andere Linux-Fehler wie Heartbleed oder Shellshock, denn sie kann nicht so einfach ausgenutzt werden. Dennoch bleibt sie ein Problem, das schnell gelöst werden muss.

Vorhandene Lösungen

Große Linux-Distributionen sind bereits gepatcht worden. Systemadministratoren sollten prüfen, ob es einen Patch für die eingesetzte Distribution gibt.

Auch ist zu empfehlen, ausgehenden DNS-Verkehr nur dann zu erlauben, wenn er an DNS-Server auf der Whitelist geht. BIND, die am weitesten verbreitete DNS-Software, ist nicht betroffen.

Trend Micro hat folgende Deep Security-Rules herausgegeben:

  • 1007456 – DNS Malformed Response
  • 1007458 – Glibc getaddrinfo Stack Based Buffer Overflow Vulnerability (CVE-2015-7547)
  • 1007457 – Allowed DNS Resolvers

Zwei der Regeln blocken potenziell bösartigen DNS-Verkehr, eine davon ist speziell auf die Sicherheitslücke zugeschnitten und die andere erkennt große DNS-Antworten. Die dritte Regel kann für die Implementierung einer Whitelist für DNS-Server genutzt werden.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*