Es gibt eine neue, potentiell schwerwiegende Schwachstelle auf Linux-basierten Serversystemen.

Die Schwachstelle mit der Kennung CVE-2015-0235 wurde von den Entdeckern GHOST getauft und ist so kritisch, dass Sie Ihre Systeme unbedingt sofort prüfen und ggf. patchen sollten. Andernfalls könnte es möglich sein, dass Angreifer Ihre Server dazu nutzen, um eigenen Programmcode auszuführen.

Kommen wir zu den Details:

Ob Ihr System betroffen ist, können Sie mit einem kleinen Beispielprogramm, das von den Entdeckern gleich mitveröffentlicht wurde, testen.

Das Programm können Sie auch bei uns herunterladen (C-Quellcodedatei), auf Ihrem Linuxsystem einfach mit

gcc ghost.c -o ghost

kompilieren und durch

./ghost

aufrufen. Die Ausgabe lautet dann “vulnerable” oder “not vulnerable”.

Die Schwachstelle selbst kann über die Funktion gethostbyname ausgenutzt werden und ermöglicht auch eine Remote Code Execution. Zusammen mit der Meldung über die Sicherheitslücke wurde direkt ein Beispielangriff gegen den Mailserver Exim vorgestellt. Ein Modul für Metasploit soll in den nächsten Tagen folgen.

Verantwortlich für die Sicherheitslücke ist ein Fehler in der Standardbibliothek glibc, welche diese Schwachstelle seit der Version 2.2 aus dem Jahr 2000 enthielt. Erst nach 13 Jahren wurde von einem Programmierer ein Fix für die Schwachstelle bereitgestellt, so dass die Bibliothek seit der Version 2.18 nicht mehr angreifbar ist. Allerdings wurde die Schwachstelle nicht als sicherheitskritisch erkannt und daher von vielen Distributionen, etwa Debian 7 (wheezy), Red Hat Enterprise Linux 6 & 7, CentOS 6 & 7 und Ubuntu 12.04 nicht übernommen. Für viele dieser Systeme stehen nun Updates zur Verfügung und sollten installiert werden.

Auch wenn die aktuelle Tendenz zu medienwirksamen Namen für Sicherheitslücken (Heartbleed, Poodle, Ghost) ein wenig irritierend ist, die Schwachstelle selbst ist trotzdem ein Problem.