[Warning] Schwerwiegendes Sicherheitsproblem in GNU libc/eglibc (sog. "GHOST"-Lücke)
Robert Waldner
waldner at cert.at
Wed Jan 28 09:39:56 CET 2015
28. Jänner 2015
Wie gestern bekannt wurde, gibt es ein kritisches Problem in älteren
(vor 2.18) Versionen der GNU C Library (glibc/eglibc).
In einschlägigen Medien wird bereits darüber berichtet, ob der
Dringlichkeit und des Umfangs des Problems bittet CERT.at nochmals um
Beachtung der folgenden Hinweise.
Beschreibung
In der glibc-Funktion '__nss_hostname_digits_dots()', die wiederum
von 'gethostbyname'-Funktionen benutzt wird, gibt es einen Fehler.
Dieser wurde bereits 2013 behoben, damals aber nicht als
sicherheitsrelevant eingestuft.
Wie der IT-Security Dienstleister Qualys nun herausgefunden hat, ist
diese Lücke aber doch ausnutzbar, siehe
https://www.qualys.com/research/security-advisories/GHOST-CVE-2015-0235.txt
(mit ausführlicher Analyse).
Eintrag in der CVE-Datenbank: CVE-2015-0235.
CVSS2 Score (Quelle: Redhat):
Base Score: 6.8
Base Metrics: AV:N/AC:M/Au:N/C:P/I:P/A:P
Access Vector: Network
Access Complexity: Medium
Authentication: None
Confidentiality Impact: Partial
Integrity Impact: Partial
Availability Impact: Partial
Auswirkungen
Da die betroffenen Funktionen mit DNS-Lookups zu tun haben, lässt
sich der Fehler unter Umständen durch entfernte Angreifer ausnutzen,
wenn diese einen Weg finden, betroffene Software dazu zu bringen,
DNS-Lookups auf durch den Angreifer kontrollierte Ressourcen zu
machen.
Dies wurde in einem Proof Of Concept etwa für den Email-Server exim
demonstriert.
Im Prinzip kann dies aber jede Software betreffen, die die
entsprechenden Funktionen für DNS-Lookups benutzt - auch asynchron,
wie etwa bei Log-Analyse, sowie auf Geräten, die nicht öffentlich im
Internet erreichbar sind, etwa interne Mailgateways.
Nach erfolgreichem Ausnutzen kann ein Angreifer beliebigen Code mit
den Rechten des Benutzers, unter dessen Account die betroffene
Software läuft ausführen. Damit sind alle Daten auf diesen Systemen,
sowie alle durch diese erreichbaren (etwa durch
Datenbank-Anbindungen, Fileshares etc.) Daten und Systeme gefährdet.
Da das Bestehen einer Lücke nun öffentlich bekannt ist, ist auch
anzunehmen, dass sich diverse Akteure nun darauf konzentrieren
werden, und entsprechend ist bald mit grossflächigen Kampagnen, die
diese Lücke auszunutzen versuchen, zu rechnen.
Betroffene Systeme
Der Fehler betrifft alle glibc/eglibc Versionen vor 2.18, die von
vielen Long Term Support/Extended Support Linux Distributionen
eingesetzt werden.
Momentan bekannt sind (Achtung, Liste ist nicht vollständig):
* Debian 7.8 "Wheezy" (stable)
* Red Hat Enterprise Linux 6 & 7 (und Derivate wie CentOS,
Scientific Linux)
* Ubuntu 12.04 "Precise Pangolin"
Auch manche Embedded Systeme können hiervon betroffen sein.
Nicht betroffen sind:
* Systeme, auf denen glibc/eglibc ab Version 2.18 eingesetzt wird
* Systeme, auf denen andere libc Varianten eingesetzt werden
Sobald wir über mehr Informationen bezüglich betroffener Software
verfügen, werden wir diese Warnung entsprechend updaten - die
aktuelle Version ist immer via https://cert.at/ abrufbar.
Abhilfe
Es wird dringend empfohlen, die von den Betriebssystemen
bereitgestellten Patches zu installieren, und alle Services, die die
entsprechenden Funktionen benutzen, neu zu starten. Hier kann es oft
einfacher sein, das ganze System neu zu booten.
Eine Methode, herauszufinden, welche laufenden Services gegen
glibc/eglibc gelinkt sind (nicht notwendigerweise gegen die
betroffenen Versionen!), und nach Update neu gestartet werden
müssen, ist etwa:
`lsof | grep libc | awk '{print $1}' | sort | uniq`
Endbenutzern empfehlen wir, die Updates der Linux-Distributionen zu
installieren, und ihre Systeme danach zu rebooten.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
--
// CERT Austria - Robert Waldner <waldner at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 819 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/cgi-bin/mailman/private/warning/attachments/20150128/4c16f64b/attachment.sig>
More information about the Warning
mailing list