Was passieren kann, wenn ein Softwarefehler falsch klassifiziert wird, zeigt nun eine hochkritische Sicherheitslücke in Linux-Systemen. Aufgrund eines Bugs in der Standard-C-Bibliothek glibc können Angreifer von außen Zugriff auf betroffene Server erhalten und dort auch Code ausführen. Gerade Server mit dem freien Betriebssystem sind damit akut gefährdet, wie der Sicherheitsdienstleister Qualys warnt.

GHOST

Die von den Entdeckern GHOST getaufte Lücke steckt in der gethostbyname()-Funktion der glibc. Angreifer können durch die Übergabe einer gefälschten IP-Adresse einen Fehler auslösen, um dann auf das betreffende System einzudringen.

Exim

Die zentrale Rolle der glibc in einem Linux-System führt dazu, dass gleich mehrere Programme auf diesem Weg angreifbar sind, so sie die entsprechende Funktion nutzen. Dazu gehört etwa der viel genutzte Mail-Server Exim oder das Mail-Filter-System Procmail. Andere Server-Programme wie Apache, MySQL, OpenSSH oder Samba scheinen hingegen nicht betroffen zu sein, da sie gethostbyname() nur unter Vorzeichen verwenden, die eine Ausnutzung des Problems verhindern.

Fehleinschätzung

Der Fehler in der glibc war bereits vor zwei Jahren erstmals entdeckt worden, und ist entsprechend in aktuellen Versionen der Software nicht mehr enthalten. Da er damals aber nicht als sicherheitskritisch identifiziert wurde, wurden keine Sicherheitsupdates für ältere Versionen der C-Bibliothek geschnürt - was nun die akute Gefährdungslage zufolge hat.

Auswahl

Potentiell sind alle Systeme betroffen, die die glibc in Versionen zwischen 2.2 und 2.17 einsetzen - aktuell ist die glibc 2.20. Und doch sind davon viele Systeme betroffen, allen voran das aktuell stabile Debian aber auch Red Hat Enterprise Linux. Ubuntu 14.04 setzt hingegen bereits auf eine neuere glibc - ebenso wie aktuelle Versionen von OpenSUSE und Fedora.

Update

Bei Debian hat man mittlerweile mit einem Sicherheitsupdate auf die Gefährdungslage reagiert, andere Hersteller werden wohl bald folgen. Systemadministratoren sollten dieses so rasch wie möglich einspielen, rät Cert.at. Zumal Qualys bereits angekündigt hat, in Kürze auch einen funktionstüchtigen Exploit für das Problem nachzureichen. (apo, derStandard.at, 28.1.2015)