[Warning] Kritische Sicherheitslücke in GNU libc - Patches verfügbar

Alexander Riepl riepl at cert.at
Wed Feb 17 10:50:39 CET 2016 

17. Februar 2016

   Wie gestern bekannt wurde gibt es ein kritisches Problem in mehreren
   Versionen der GNU C Library (glibc ab Version 2.9). Ob der
   Dringlichkeit und des Umfangs des Problems bittet CERT.at um
Beachtung der folgenden Hinweise.

Beschreibung

   In der glibc-Funktion _nss_dns_gethostbyname4_r, welche für
   Namensauflösung verantwortlich ist, gibt es einen Fehler, der es einem
   Angreifer mittels übergrosser Netzwerkpakete erlaubt, einen
   Buffer-Overflow zu erzeugen, der in weiterer Folge zur Ausführung von
   Code missbraucht werden kann.

   Eintrag in der CVE-Datenbank: [1]CVE-2015-7547.

   CVSS2 Score (Quelle: Redhat):
   Base Score: 6.1
   Base Metricts: AV:N/AC:H/Au:N/C:N/I:C/A:P
   Access Vector: Network
   Access Complexity: High
   Authentication: None
   Confidentiality Impact: None
   Integrity Impact: Complete
   Availability Impact: Partial

Auswirkungen

   Da die betroffenen Funktionen mit DNS-Lookups zu tun haben, lässt sich
   der Fehler unter Umständen durch entfernte Angreifer ausnutzen, wenn
   diese einen Weg finden, die betroffene Software dazu zu bringen,
   DNS-Lookups auf durch den Angreifer kontrollierte Ressourcen zu machen.
   Das Team von Google Online Security hat dazu einen [2]"Proof of
   Concept" veröffentlicht.

   Grundsätzlich kann dies aber jede Software betreffen, die die
   entsprechenden Funktionen für DNS-Lookups benutzt - auch asynchron, wie
   etwa bei Log-Analyse, sowie auf Geräten, die nicht öffentlich im
   Internet erreichbar sind, etwa interne Mailgateways.

   Nach erfolgreichem Ausnützen der Schwachstelle kann ein Angreifer
   beliebigen Code mit den Rechten des Benutzers, unter dessen Account die
   betroffene Software läuft, ausführen. Damit sind alle Daten auf diesen
   Systemen, sowie alle durch diese erreichbaren (etwa durch
   Datenbank-Anbindungen, Fileshares etc.) Daten und Systeme gefährdet.

   Da die Lücke nun öffentlich bekannt ist, ist auch anzunehmen, dass sich
   diverse Akteure nun darauf konzentrieren werden, und entsprechend ist
   bald mit grossflächigen Kampagnen, die diese Schwachstelle auszunutzen
   versuchen, zu rechnen.

Betroffene Systeme

   Der Fehler betrifft alle glibc-Versionen ab 2.9 (2008 veröffentlicht),
   also so gut wie alle aktuellen Linuxdistributionen. Momentan bekannt
   sind (Achtung, Liste ist nicht vollständig):
     * Debian 6 (Squeeze), 7 (Oldstable/Wheezy), 8 (Stable/Jessie), 9
       (Testing/Stretch)
     * Red Hat Enterprise Linux 6, 7
     * Ubuntu 12.04, 14.04, 15.10

   Auch manche Embedded Systeme können betroffen sein.

   Nicht betroffen sind:
     * Systeme, auf denen glibc in Versionen vor 2.9 eingesetzt wird
     * Systeme, auf denen andere libc Varianten eingesetzt werden

Abhilfe

   Es wird dringend empfohlen, die von den Betriebssystemen/Distributionen
   bereitgestellten Patches zu installieren, und alle Services, die die
   entsprechenden Funktionen benutzen, neu zu starten. Hier kann es oft
   einfacher sein, das ganze System neuzustarten.

   Eine Methode, herauszufinden, welche laufenden Services gegen glibc
   gelinkt sind, und nach der Durchführung des Updates neu gestartet
   werden müssen, ist etwa:

     lsof | grep libc | awk '{print $1}' | sort | uni

   Endbenutzern empfehlen wir die Updates der Linux-Distributionen zu
   installieren und ihre Systeme danach zu rebooten.

   Sollte eine Installation der bereitgestellten Patches momentan nicht
   möglich sein, gibt es mehrere Möglichkeiten, die Auswirkungen der
   Schwachstelle zu mitigieren:
     * Firewallseitig TCP-/UDP-DNS-Pakete > 512 Bytes blockieren
     * Den lokalen Resolver so konfigurieren, dass er illegitime Antworten
       blockiert
     * In /etc/resolv.conf die Option edns0 deaktivieren

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   aktiv und den Virenschutz aktuell zu halten.
     __________________________________________________________________

   Informationsquelle(n):
   CVE-Eintrag auf mitre.org (englisch)
   [1]https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7547
   Proof-of-Concept von Google (englisch)
   [2]https://github.com/fjserna/CVE-2015-7547


-- 
// Alexander Riepl <riepl at cert.at> - T: +43 1 5056416 78
// CERT Austria - http://www.cert.at/
// Eine Initiative der nic.at GmbH - http://www.nic.at/
// Firmenbuchnummer 172568b, LG Salzburg

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 819 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/cgi-bin/mailman/private/warning/attachments/20160217/263ed8a0/attachment.sig>

More information about the Warning mailing list