Einen geradezu verheerenden Fehler haben Sicherheitsforscher in einer zentralen Linux-Bibliothek aufgespürt, und zwar einen der das Internet noch länger beschäftigten könnte. Lassen sich doch auf diesem Weg sowohl Linux-Server als auch Desktops und andere Geräte mit dem freien Betriebssystem von außen kapern. Was das Problem noch verschärft: Es sind fast alle aktuell genutzten Linux-Systeme davon betroffen.

Details

Konkret geht es um eine Lücke (CVE-2015-7547) in der glibc, der Implementation der C-Standard-Bibliothek des freien GNU-Projekts. Diese beinhaltet eine Funktion namens getaddrinfo() zum Auflösen von Netzwerknamen. Über speziell präparierte DNS-Pakete könnte ein Angreifer nun einen Buffer Overflow erzeugen, in dessen Folge von außen fremder Code auf ein System eingeschleust werden kann. Der Fehler wurde mit der glibc 2.9 eingeschleppt, die im Jahr 2008 veröffentlicht wurde.

Viele Angriffswege

Was die Angelegenheit so dramatisch macht, ist die zentrale Position der glibc. Diese führt dazu, dass ein solche Angriff gegen praktisch jedes Linux-Programm möglich ist, das DNS-Namen auflöst. Getestet wurde dies etwa mit SSH, curl, sudo und wget. Ein typischer Angriffsvektor wäre hier eine Man-in-the-middle-Attacke oder auch ein manipulierter Domain Name Server (DNS).

Spurensuche

Der Bug wurde offenbar von mehreren Sicherheitsforschern entdeckt. So berichtet etwa Google in einem Blogeintrag über die eigene Spurensuche, in deren Folge man bemerkt habe, dass auch Red Hat bereits auf das Problem gestoßen sei. Google ist es denn auch, das einen Proof-of-Concept-Exploit für die Lücke liefert, allerdings einen in abgeschwächter Form: Der Exploit führt lediglich zu eine Programmabsturz. Laut dem Unternehmen habe man aber noch einen zweiten Exploit entwickelt, über den tatsächlich von außen Code eingeschmuggelt werden kann, diesen will man angesichts der Schwere des Problems aber erst später veröffentlichen, um Server-Betreibern und Nutzern Zeit zum Update zu geben.

Update!

Die großen Linux-Distributionen haben mittlerweile damit begonnen, erste Updates an ihre Nutzer auszuliefern. Das österreichische CERT rät allen Betroffenen angesichts der Gefährdungslage dringend diese Aktualisierungen einzuspielen. Ein reines Update der Software reicht dabei allerdings nicht aus, es müssen auch sämtliche Services neu gestartet werden, die die glibc nutzen. Im Zweifelsfall sei es hier einfacher, gleich die gesamte Maschine neu zu starten, falls dies eine Option darstellt.

Viele offene Fragen

Deutlich schwieriger dürfte sich die Situation bei anderen Geräten jenseits von Servern und Desktop darstellen. Immerhin findet Linux mittlerweile in einer Unzahl verschiedenster Devices seinen Einsatz, von denen viele nur selten bis gar keine Updates erhalten. Insofern lässt sich auch noch nicht abschätzen, wie lange der Fehler das Internet noch begleiten wird.

Android nicht gefährdet

Android-Nutzer müssen sich allerdings keine Sorgen machen. Zwar bildet auch hier Linux den Kern, Google setzt mit Bionic aber eine eigene C-Bibliothek ein. Schwieriger ist es schon herauszufinden, wie es bei Routern und anderen kleineren Geräten ist. Allerdings kommt zumindest bei freier Router-Software wie DD-WRT oder OpenWRT die offenbar ebenfalls nicht gefährdete uClibc ein, die speziell für den Embedded-Bereich entwickelt wurde.

Gemächliche Fehlerbereinigung

Die ganze Angelegenheit bereit darüber hinaus Sorgen über den allgemeine Status der glibc-Entwicklung. Immerhin ist der Fehler offenbar bereits im Juli 2015 erstmals gemeldet worden, es hat also reichlich lange gedauert, bis die entsprechenden Patches fertig waren. Der aktuelle Vorfall erinnert zudem an eine Anfang 2015 bekannt gewordene Sicherheitslücke namens Ghost, die ebenfalls in der glibc steckte. (Andreas Proschofsky, 17.2.2016)