Linux auf Geisterfahrt: Sicherheitslücke Ghost in der Glibc-Bibliothek

Überwiegend auf Linux-Servern treibt eine fast seit 15 Jahren bekannte und eigentlich 2013 geschlossene Sicherheitslücke erneut ihr Unwesen. Bösartige DNS-Antworten erlauben es Angreifern, Code auszuführen. Die Sicherheitslücke „Ghost“ geistert in der Standard-C-Bibliothek Glibc herum.

Linux Ghost-Lücke

Bereits seit Version 2.2 aus November 2000 existiert der Fehler in der Glibc; entdeckt und behoben wurde sie schon 2013 von den Glibc-Entwicklern. Der Fehler wurde jedoch nie als kritisches Sicherheitsproblem wahrgenommen. Neu entdeckt wurde die Lücke von der Firma Qualys, die diese Sicherheitslücke „Ghost“ taufte, da sie die Funktion gethostbyname() betrifft. Qualys sieht darin ein „ernstes Risiko“, während Linux-Distributor Red Hat von einer „kritischen“ Sicherheitslücke spricht.

Wird eine fehlerhafte IP-Adresse übergeben, kann schlimmstenfalls bösartiger Code ausgeführt werden. Oftmals dürfte eine einfache E-Mail dafür ausreichen, die Sicherheitslücke auszunutzen, da es viele Server ermöglichen, Hostnamen zu IP-Adressen aufzulösen. Ghost macht es Angreifern also sehr leicht, Linux-Server zu übernehmen. Angreifer können durch den Fehler vier (32-Bit-System) beziehungsweise acht Bytes (64-Bit-System) überschreiben. Der Speicher kann ausschließlich mit ASCII-Werten der Zahlen überschrieben werden. Dieser Einschränkung zum Trotz ist das Ausnutzen laut Qualys ein Leichtes.

Unter welchen Umständen kann die Lücke ausgenutzt werden?

Bei gethostbyname() handelt es sich um eine veraltete Funktion, weshalb sich aktuelle Applikationen an die Funktion getaddrinfo() wenden. Die meisten Programme rufen zunächst die Funktion inet_aton() auf und erst, wenn diese fehlschlägt, wird gethostbyname() genutzt. Das sind nicht wenige Einschränkungen, allerdings konnten die Qualys-Experten diverse verwundbare Programme finden; unter anderem den Mailserver Exim oder das Mailfiltersystem procmail.

Das Problem liegt darin, dass Glibc-Versionen ab 2.18 nicht mehr betroffen sind. In ihrer Standardausführung nutzen zahlreiche Linux-Distributionen jedoch veraltete Glibc-Versionen: So arbeitet die Debian-Version 7.0 Wheezy mit Glibc 2.13, Red Hat Enterprise in der aktuellen Version 7 setzt auf Glibc 2.17. Die aktuellen Versionen dieser Distributionen sind deshalb betroffen, da Ghost zunächst nicht als kritische Sicherheitslücke eingestuft wurde. In der ausführlichen Beschreibung von Qualys finden Sie weiterführende Informationen sowie einen Beispielcode, mit dem Sie prüfen können, ob auch Ihr System betroffen ist.

Handlungsempfehlung

Nutzen Sie ein Linux-System – egal, ob Server oder Desktop – ist es ratsam, aktualisierte Pakete schnellstmöglich zu installieren. Arbeiten Sie unter Debian Wheezy, vermeiden Sie die Sicherheitslücke Ghost mit der jüngst zur Verfügung gestellten Version 2.13-38+deb7u7. Verwenden Sie eine Distribution, die die aktuelle Version von Glibc nutzt, sind Sie nicht betroffen. Dies trifft auf Nutzer der aktuellen Versionen der Distributionen Ubuntu (inkl. LTS-Version 14.04), OpenSUSE, Gentoo und Fedora zu. Setzen Sie ältere Versionen dieser Distributionen ein, sollten Sie ebenfalls schnellstmöglich aktualisieren. Haben Sie Fragen zu Ghost, stellen Sie diese gerne in den Kommentaren – unsere Sicherheitsexperten antworten Ihnen.