Glibc Linux-Bug könnte Tausende von Software und Geräten gefährden

Linux Glibc-Bug könnte Millionen von Nutzern durch anfällige Software und Geräte gefährden

Sicherheitsforscher haben einen potenziell katastrophalen Fehler in einem der Kernbausteine des Internets entdeckt, der Hunderte oder Tausende von Apps und Hardwaregeräten anfällig für Angriffe macht, die potenziellen Hackern die Kontrolle über sie ermöglichen können.

Laut den Forschern besteht die Schwachstelle seit 2008, als sie in die GNU C Library eingeführt wurde. Die GNU C Library ist ein Open-Source-Code, der verwendet wird, um Tausende von Apps und Software zu betreiben und in den meisten Linux-Distributionen verwendet wird. Der Fehler macht auch Heimrouter und andere Internet of Things (IoT)-Geräte anfällig für Angriffe.

Ars Technica weist darauf hin, dass eine Funktion namens getaddrinfo(), die Domainnamenabfragen durchführt, einen Pufferüberlauf-Fehler enthält, der es Angreifern ermöglicht, bösartigen Code aus der Ferne auszuführen. Er kann ausgenutzt werden, wenn anfällige Geräte oder Apps Anfragen an von Angreifern kontrollierte Domainnamen oder Domainname-Server stellen oder wenn sie Angriffen durch Man-in-the-Middle ausgesetzt sind, bei denen der Gegner die Fähigkeit hat, Daten zu überwachen und zu manipulieren, die zwischen einem anfälligen Gerät und dem offenen Internet übertragen werden. Alle Versionen von glibc nach 2.9 sind anfällig.

Das glibc-Entwicklungsteam hat ein Update veröffentlicht, das die Schwachstelle behebt. Es hat darum gebeten, dass jede Software oder Hardware, die Domainnamenabfragen durchführt, den Patch so schnell wie möglich installiert.

Aufgrund der Natur des Fehlers ist es jedoch äußerst schwierig zu wissen, wie ernst das Problem ist und wie viele Geräte davon betroffen sein könnten.

„Viele Menschen versuchen gerade herauszufinden, ob dies wirklich katastrophal ist oder ob wir einem Schuss ausgewichen sind“, sagte Prof. Alan Woodward, ein Sicherheitsexperte von der Universität Surrey.

Trotz der Veröffentlichung eines Patches könnte der glibc-Bug Tausende von nomadischen Geräten wie billigen Heimroutern anfällig machen. Auch einige Apps, die mit einer anfälligen Version von glibc kompiliert wurden, müssen mit einer aktualisierten Version der Bibliothek neu kompiliert werden, ein Prozess, der Zeit in Anspruch nehmen wird, während die Benutzer auf die Verfügbarkeit von Fixes durch Hardwarehersteller und App-Entwickler warten.

In einem Blogbeitrag, der die Entdeckung erklärt, detaillierte das Team von Google, wie ein Fehler in einigen häufig verwendeten Codes ausgenutzt werden könnte, um einen Fernzugriff auf Geräte zu ermöglichen – sei es ein Computer, Internetrouter oder ein anderes verbundenes Gerät.

Der Code kann auch innerhalb vieler der sogenannten „Bausteine“ des Webs vorhanden sein – Programmiersprachen wie PHP und Python sind betroffen, ebenso wie Systeme, die beim Anmelden auf Websites oder beim Zugriff auf E-Mails verwendet werden.

Jeder, der in der Lage ist, ein Update durchzuführen, sollte dies so schnell wie möglich tun. Der Blogbeitrag von Google fuhr fort:

Google hat einige Milderungen gefunden, die helfen können, eine Ausnutzung zu verhindern, wenn Sie Ihre Instanz von glibc nicht sofort patchen können. Die Schwachstelle beruht auf einer übergroßen (2048+ Bytes) UDP- oder TCP-Antwort, gefolgt von einer weiteren Antwort, die den Stack überschreibt. Unsere empfohlene Milderung besteht darin, die Antwortgrößen (d.h. über DNSMasq oder ähnliche Programme) zu begrenzen, die vom DNS-Resolver lokal akzeptiert werden, sowie sicherzustellen, dass DNS-Anfragen nur an DNS-Server gesendet werden, die die Antwortgröße für UDP-Antworten mit dem Truncation-Bit setzen.

In der Zwischenzeit haben die glibc-Wartungsteams die folgenden zusätzlichen Milderungsdetails bereitgestellt:

Mildernde Faktoren für UDP umfassen:
– Eine Firewall, die UDP-DNS-Pakete > 512 Bytes verwirft.
– Ein lokaler Resolver (der nicht konforme Antworten verwirft).
– Vermeiden Sie doppelte A- und AAAA-Anfragen (vermeidet Pufferverwaltungsfehler), z.B.
Verwenden Sie nicht AF_UNSPEC.
– Keine Verwendung von options edns0 in /etc/resolv.conf, da EDNS0 Antworten größer als 512 Bytes zulässt und zu gültigen DNS-Antworten führen kann, die überlaufen.
– Keine Verwendung von RES_USE_EDNS0 oder RES_USE_DNSSEC, da beide zu gültigen großen EDNS0-basierten DNS-Antworten führen können, die überlaufen. Mildernde Faktoren für TCP umfassen:
– Begrenzen Sie alle Antworten auf 1024 Bytes. Milderungen, die nicht funktionieren:
– Das Setzen von options single-request ändert die Pufferverwaltung nicht und verhindert nicht die Ausnutzung.
– Das Setzen von options single-request-reopen ändert die Pufferverwaltung nicht und verhindert nicht die Ausnutzung.
– Das Deaktivieren von IPv6 deaktiviert keine AAAA-Anfragen. Die Verwendung von AF_UNSPEC aktiviert bedingungslos die doppelte Anfrage.
– Die Verwendung von sysctl -w net.ipv6.conf.all.disable_ipv6=1 schützt Ihr System nicht vor der Ausnutzung.
– Das Blockieren von IPv6 bei einem lokalen oder zwischenliegenden Resolver funktioniert nicht, um die Ausnutzung zu verhindern. Die Ausnutzungs-Payload kann in A- oder AAAA-Ergebnissen geliefert werden, es ist die parallele Anfrage, die den Pufferverwaltungsfehler auslöst.

Die Schwachstelle wird mit Shellshock verglichen, einem Fehler, der 2014 entdeckt wurde und eine riesige Bandbreite an Computergeräten betraf. Red Hat-Beamte haben hier weitere Informationen.