Ubuntu zählt zu den beliebtesten Linux-Distributionen.

Eine Sicherheitslücke in einer zentralen Softwarebibliothek von Linux-Systemen könnte insbesondere für zahlreiche Serverbetreiber gefährlich werden. Entdeckt wurde das Problem unabhängig voneinander von Google-Entwicklern und von Mitarbeitern des Linux-Distributors Red Hat.

Die Lücke befindet sich in der Softwarebibliothek Glibc. Und zwar seit dem Jahr 2008. Bei dieser Open-Source-Software handelt es sich um einen Kernbestandteil von Linux-Systemen wie Ubuntu, Debian und Red Hat. Die Glibc stellt zahlreiche Standardfunktionen bereit, die von allen Programmen genutzt werden. Dazu gehören etwa das Lesen und Schreiben von Dateien, aber auch Kernfunktionen für Netzwerkverbindungen.

Domainnamen im Internet – beispielsweise www.zeit.de – werden von einem System namens DNS (Domain Name System) in Zahlenfolgen umgewandelt, die IP-Adressen. Erst mit den IP-Adressen kann dann eine Verbindung aufgebaut werden. Diese Namensauflösung wird unter Linux-Systemen mithilfe der Glibc durchgeführt. Hier hat sich ein gravierendes Problem eingeschlichen.

Durch Zufall gefunden

Dieses Problem erlaubt es einem Angreifer, als Antwort auf eine Namensauflösung Daten zu schicken, mit denen er das System im schlimmsten Fall übernehmen kann. Ein Angreifer kann also beispielsweise seine eigene Domain entsprechend manipulieren. Versucht anschließend ein verwundbares Linux-System, auf diese Domain zuzugreifen, ist das System dem Angreifer schutzlos ausgeliefert und kann von diesem übernommen werden.

In der Praxis ist es oft sehr einfach, ein System dazu zu bewegen, eine bestimmte Domain aufzulösen. Ein Angreifer könnte etwa schlicht eine E-Mail verschicken, die die entsprechende bösartige Domain als Absender nutzt. Der Server wird in aller Regel beim Empfang der Mail automatisch die Absenderdomain auf ihre Echtheit prüfen und dabei die fehlerhafte Funktion auslösen.

Mitarbeiter von Google schreiben in einem Blogeintrag, dass sie den Fehler eher durch Zufall gefunden haben. Ein Tool stürzte immer wieder bei dem Versuch ab, sich mit einer bestimmten Adresse zu verbinden. Nach der Analyse stellten die Google-Entwickler fest, dass der Fehler unabhängig davon bereits gemeldet war. Entwickler der Linux-Distribution Red Hat hatten ihn bereits analysiert, jedoch die Details dazu noch nicht veröffentlicht.

Linux-Nutzer sollten sofort aktualisieren

Zwar würde ein Schutzmechanismus, der üblicherweise aktiviert ist, Angreifern das Leben schwerer machen. Trotzdem gelang es den Google-Entwicklern, eine funktionierende Attacke zu entwickeln. Veröffentlicht haben sie diese allerdings nicht – um andere Nutzer zu schützen und um ihnen Zeit zu geben, ihre Systeme zu aktualisieren. Einen Proof of Concept haben sie zwar auf Github veröffentlicht, er sorgt jedoch nur dafür, dass ein entsprechendes Testprogramm abstürzt.

Für alle gängigen Linux-Distributionen stehen inzwischen Aktualisierungen bereit. Insbesondere die Betreiber von Linux-Servern sollten hier sehr schnell handeln und ihre Systeme auf den neuesten Stand bringen. Nicht betroffen von dem Fehler sind Android-Systeme. Diese basieren zwar auch auf Linux, sie verwenden jedoch eine andere Standardbibliothek.

Decorative background image

ABC der Software-Schwachstellen

Laden …

Ich taufe dich auf den Namen ...

Sicherheitslücken werden zu Marken: Seit einiger Zeit verpassen Forscher den von ihnen entdeckten Schwachstellen einen Namen und manchmal sogar ein Logo.

Laden …
Laden …

Factoring attack on RSA-EXPORT Keys

Spätfolge von einst gewollten Hintertüren in Kryptotechnik. Hatte zur Folge, dass Angreifer vermeintlich sichere Internet-Verbindungen abhören und schlimmstenfalls Passwörter abfangen konnten. Betraf Internet Explorer, Safari und andere Browser.

Laden …
Laden …

Auch wenn die Google-Entwickler ihren Angriffsweg bislang nicht preisgeben: Es ist davon auszugehen, dass es in Kürze anderen gelingt, ihn erfolgreich zu replizieren. Anschließend dürfte es nur eine Frage der Zeit sein, bis er großflächig eingesetzt wird.

Vor zwei Jahren führte der sogenannte Heartbleed-Bug in der Verschlüsselungssoftware OpenSSL dazu, dass ein Problem zum ersten Mal in großer Breite diskutiert wurde: Softwareprojekte, die unter freien Lizenzen jedem kostenlos zur Verfügung stehen, sind inzwischen ein enorm wichtiger Teil der Internet-Infrastruktur – und sicherheitskritische Fehler in diesen Projekten können fatale Auswirkungen haben. Die Glibc dürfte ähnlich wie damals OpenSSL kaum jemandem außerhalb der IT-Fachwelt ein Begriff sein. Doch ihr Code sorgt dafür, dass unzählige Server im Internet betrieben werden können. Der vielleicht größte Unterschied zwischen dem Glibc-Fehler und Heartbleed: Er hat keinen einprägsamen Namen und kein Logo.