Kritische Schwachstelle in GNU-C-Bibliothek gefährdet Linux-Nutzer

Sicherheitsforscher von Google warnen vor einer kritischen Sicherheitslücke in der GNU-C-Bibliothek (Glibc), die zahllose Linux-Nutzer gefährdet. Der Fehler steckt in der Version 2.9 und neuer, die ab 2008 eingeführt wurde. Ein Stack basierter Pufferüberlauf im clientseitigen DNS-Resolver erlaubt offenbar das Einschleusen und Ausführen von Schadcode, wenn die Funktion „getaddrinfo“ aufgerufen wird.

Glibc ist eine Implementierung der Standard C Library und definiert Systemaufrufe und andere grundlegende Funktionen von Linux-Systemen, wie Computerworld berichtet. Die Bibliothek war Anfang 2015 auch für die Ghost genannte Sicherheitslücke in der GetHOST-Funktion verantwortlich, die Angriffe auf Web- und Mail-Server und praktisch sämtliche Linux-Distributionen erlaubte.

Den für die Bibliothek zuständigen Entwicklern war der Fehler erstmals im Juli 2015 gemeldet worden. Unklar ist dem Bericht zufolge, ob zu dem Zeitpunkt irgendwelche Gegenmaßnahmen entwickelt wurden. Anfang der Woche hätten schließlich Forscher von Google und Red Hat unabhängig voneinander die Anfälligkeit erneut gemeldet. Inzwischen stehe aber nicht nur Beispielcode für einen Exploit, sondern auch ein Patch zur Verfügung.

„Unsere Untersuchungen haben gezeigt, dass das Problem alle Version von Glibc seit 2.9 betrifft“, schreiben Fermin J. Serna, Staff Security Engineer bei Google, und sein Kollege Kevin Stadmeyer, Technical Program Manager, in einem Blogeintrag. „Sie sollten definitiv ein Update durchführen, wenn Sie eine ältere Version haben.“

Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Nutzern, die den Patch nicht einspielen können, bietet Google auch eine Behelfslösung an. Da die Anfälligkeit auf übergroßen UDP- oder TCP-Antworten basiert, ist es möglich, die Paketgrößen, die der DNS Resolver lokal akzeptiert, zu beschränken. Dabei muss laut Google aber sichergestellt sein, dass alle DNS-Anfragen nur an den Server geschickt werden, der die Größe der Antworten limitiert.

„Der Teil, der dies interessant macht, ist, dass DNS eine Kernkomponente ist, was bedeutet, dass möglicherweise viele Subsysteme und Applikationen betroffen sind“, zitiert Computerworld Mark Loveless, leitender Sicherheitsforscher bei Duo Security. Er schließt auch nicht aus, dass auch andere Unix-basierte Betriebssysteme und selbst Betriebssysteme für mobile Geräte wie Smartphones und Tablets anfällig sind.

Kaspersky schätzt, dass wahrscheinlich alle Linux-Server und auch Web-Frameworks wie Rails, PHP und Python betroffen sind. Auch verschiedene Android-Apps sollen die GNU-C-Bibliothek verwenden und damit angreifbar sein.

Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

8 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

12 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

13 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

13 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

13 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

15 Stunden ago