Kritische Schwachstelle in GNU-C-Bibliothek gefährdet Linux-Nutzer

Sicherheitsforscher von Google warnen vor einer kritischen Sicherheitslücke in der GNU-C-Bibliothek (Glibc), die zahllose Linux-Nutzer gefährdet. Der Fehler steckt in der Version 2.9 und neuer, die ab 2008 eingeführt wurde. Ein Stack basierter Pufferüberlauf im clientseitigen DNS-Resolver erlaubt offenbar das Einschleusen und Ausführen von Schadcode, wenn die Funktion „getaddrinfo“ aufgerufen wird.

Glibc ist eine Implementierung der Standard C Library und definiert Systemaufrufe und andere grundlegende Funktionen von Linux-Systemen, wie Computerworld berichtet. Die Bibliothek war Anfang 2015 auch für die Ghost genannte Sicherheitslücke in der GetHOST-Funktion verantwortlich, die Angriffe auf Web- und Mail-Server und praktisch sämtliche Linux-Distributionen erlaubte.

Den für die Bibliothek zuständigen Entwicklern war der Fehler erstmals im Juli 2015 gemeldet worden. Unklar ist dem Bericht zufolge, ob zu dem Zeitpunkt irgendwelche Gegenmaßnahmen entwickelt wurden. Anfang der Woche hätten schließlich Forscher von Google und Red Hat unabhängig voneinander die Anfälligkeit erneut gemeldet. Inzwischen stehe aber nicht nur Beispielcode für einen Exploit, sondern auch ein Patch zur Verfügung.

„Unsere Untersuchungen haben gezeigt, dass das Problem alle Version von Glibc seit 2.9 betrifft“, schreiben Fermin J. Serna, Staff Security Engineer bei Google, und sein Kollege Kevin Stadmeyer, Technical Program Manager, in einem Blogeintrag. „Sie sollten definitiv ein Update durchführen, wenn Sie eine ältere Version haben.“

Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Nutzern, die den Patch nicht einspielen können, bietet Google auch eine Behelfslösung an. Da die Anfälligkeit auf übergroßen UDP- oder TCP-Antworten basiert, ist es möglich, die Paketgrößen, die der DNS Resolver lokal akzeptiert, zu beschränken. Dabei muss laut Google aber sichergestellt sein, dass alle DNS-Anfragen nur an den Server geschickt werden, der die Größe der Antworten limitiert.

„Der Teil, der dies interessant macht, ist, dass DNS eine Kernkomponente ist, was bedeutet, dass möglicherweise viele Subsysteme und Applikationen betroffen sind“, zitiert Computerworld Mark Loveless, leitender Sicherheitsforscher bei Duo Security. Er schließt auch nicht aus, dass auch andere Unix-basierte Betriebssysteme und selbst Betriebssysteme für mobile Geräte wie Smartphones und Tablets anfällig sind.

Kaspersky schätzt, dass wahrscheinlich alle Linux-Server und auch Web-Frameworks wie Rails, PHP und Python betroffen sind. Auch verschiedene Android-Apps sollen die GNU-C-Bibliothek verwenden und damit angreifbar sein.

Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

2 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

3 Tagen ago