[Warning] Schwerwiegendes Sicherheitsproblem in GNU libc/eglibc (sog. "GHOST"-Lücke)

Robert Waldner waldner at cert.at
Wed Jan 28 09:39:56 CET 2015


28. Jänner 2015

   Wie gestern bekannt wurde, gibt es ein kritisches Problem in älteren
   (vor 2.18) Versionen der GNU C Library (glibc/eglibc).

   In einschlägigen Medien wird bereits darüber berichtet, ob der
   Dringlichkeit und des Umfangs des Problems bittet CERT.at nochmals um
   Beachtung der folgenden Hinweise.

Beschreibung

   In der glibc-Funktion '__nss_hostname_digits_dots()', die wiederum
   von 'gethostbyname'-Funktionen benutzt wird, gibt es einen Fehler.
   Dieser wurde bereits 2013 behoben, damals aber nicht als
   sicherheitsrelevant eingestuft.

   Wie der IT-Security Dienstleister Qualys nun herausgefunden hat, ist
   diese Lücke aber doch ausnutzbar, siehe

https://www.qualys.com/research/security-advisories/GHOST-CVE-2015-0235.txt
   (mit ausführlicher Analyse).

   Eintrag in der CVE-Datenbank: CVE-2015-0235.

   CVSS2 Score (Quelle: Redhat):
   Base Score:             6.8
   Base Metrics:           AV:N/AC:M/Au:N/C:P/I:P/A:P
   Access Vector:          Network
   Access Complexity:      Medium
   Authentication:         None
   Confidentiality Impact: Partial
   Integrity Impact:       Partial
   Availability Impact:    Partial

Auswirkungen

   Da die betroffenen Funktionen mit DNS-Lookups zu tun haben, lässt
   sich der Fehler unter Umständen durch entfernte Angreifer ausnutzen,
   wenn diese einen Weg finden, betroffene Software dazu zu bringen,
   DNS-Lookups auf durch den Angreifer kontrollierte Ressourcen zu
   machen.
   Dies wurde in einem Proof Of Concept etwa für den Email-Server exim
   demonstriert.

   Im Prinzip kann dies aber jede Software betreffen, die die
   entsprechenden Funktionen für DNS-Lookups benutzt - auch asynchron,
   wie etwa bei Log-Analyse, sowie auf Geräten, die nicht öffentlich im
   Internet erreichbar sind, etwa interne Mailgateways.

   Nach erfolgreichem Ausnutzen kann ein Angreifer beliebigen Code mit
   den Rechten des Benutzers, unter dessen Account die betroffene
   Software läuft ausführen. Damit sind alle Daten auf diesen Systemen,
   sowie alle durch diese erreichbaren (etwa durch
   Datenbank-Anbindungen, Fileshares etc.) Daten und Systeme gefährdet.

   Da das Bestehen einer Lücke nun öffentlich bekannt ist, ist auch
   anzunehmen, dass sich diverse Akteure nun darauf konzentrieren
   werden, und entsprechend ist bald mit grossflächigen Kampagnen, die
   diese Lücke auszunutzen versuchen, zu rechnen.

Betroffene Systeme

   Der Fehler betrifft alle glibc/eglibc Versionen vor 2.18, die von
   vielen Long Term Support/Extended Support Linux Distributionen
   eingesetzt werden.

   Momentan bekannt sind (Achtung, Liste ist nicht vollständig):
     * Debian 7.8 "Wheezy" (stable)
     * Red Hat Enterprise Linux 6 & 7 (und Derivate wie CentOS,
       Scientific Linux)
     * Ubuntu 12.04 "Precise Pangolin"

   Auch manche Embedded Systeme können hiervon betroffen sein.

   Nicht betroffen sind:
     * Systeme, auf denen glibc/eglibc ab Version 2.18 eingesetzt wird
     * Systeme, auf denen andere libc Varianten eingesetzt werden

   Sobald wir über mehr Informationen bezüglich betroffener Software
   verfügen, werden wir diese Warnung entsprechend updaten - die
   aktuelle Version ist immer via https://cert.at/ abrufbar.

Abhilfe

   Es wird dringend empfohlen, die von den Betriebssystemen
   bereitgestellten Patches zu installieren, und alle Services, die die
   entsprechenden Funktionen benutzen, neu zu starten. Hier kann es oft
   einfacher sein, das ganze System neu zu booten.

   Eine Methode, herauszufinden, welche laufenden Services gegen
   glibc/eglibc gelinkt sind (nicht notwendigerweise gegen die
   betroffenen Versionen!), und nach Update neu gestartet werden
   müssen, ist etwa:
   `lsof | grep libc | awk '{print $1}' | sort | uniq`

   Endbenutzern empfehlen wir, die Updates der Linux-Distributionen zu
   installieren, und ihre Systeme danach zu rebooten.

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   aktiv und den Virenschutz aktuell zu halten.


-- 
// CERT Austria - Robert Waldner <waldner at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 819 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/cgi-bin/mailman/private/warning/attachments/20150128/4c16f64b/attachment.sig>


More information about the Warning mailing list