GHOST lehrt uns das Fürchten

Die schwere Sicherheitslücke mit dem Kosenamen GHOST ist in der Glibc-Bibliothek entdeckt worden. Die Lücke versteckt sich in der Namensauflösung der Bibliothek, was ihr auch ihren Namen bescherte: gethostbyname(). Die Lücke ist bereits 2013 behoben worden, wurde damals aber nicht als sicherheitskritisch eingestuft.

Qualys hat den Heap Overflow entdeckt, der unter anderem die o.g. Funktion gethostbyname() betrifft. Prinzipiell könnte eine E-Mail ausreichen, um GHOST zu aktivieren und die Lücke auszunutzen. Der Angreifer kann mit dem Fehler vier oder acht Bytes überschreiben – abhängig von der Architektur des Systems. Trotz dieser Einschränkung auf nur maximal acht Byte ist eine Code-Ausführung möglich – als Beweis liefert Qualys demnächst einen Exploit für den Mailserver Exim.

GHOST trägt die ID CVE-2015-0235 und spielt in einer Liga mit Heartbleed und Shellshock. Ein Update ist dringend angeraten, für Debian Wheezy stehen bereits aktualisierte Versionen der Glibc bereit.

Wichtig! Bitte nach dem Update einen Neustart durchführen, damit jeder Dienst, der die Glibc nutzt, auf die aktualisierte Version zugreift.

Um zu testen, ob ein System betroffen ist, reicht es, den folgenden Code auszuführen:

Der Code gibt entweder „vulnerable“ oder „not vulnerable“ zurück.

Schreibe einen Kommentar