Open Source im professionellen Einsatz

Stack Overflow: Kritische Lücke in Glibc

17.02.2016

Ein kritischer Bug, der einen Stack Overflow erzeugt, wurde von Red Hat und Google unabhängig voneinander in der Glibc entdeckt und ist inzwischen behoben.

204

Die Sicherheitslücke, der bislang noch ein medienwirksamer Codename fehlt, versteckt sich in der Funktion "getaddrinfo()", die zum clientseitigen DNS-Resolver der Glibc gehört. Sie lässt sich mit Hilfe einer vorsätzlich geänderten DNS-Antwort auslösen, wie es das CVE-2015-7547 beschreibt.

Red Hats Ingenieure waren bereits vor einiger Zeit über die Lücke gestolpert, hatten diese allerdings nicht als kritisch eingestuft. Nun fanden Googles Mitarbeiter die Lücke unabhängig von Red Hat, als sie sich mit einem SSH-Segfault-Bug beschäftigten.

Beide Teams arbeiteten laut der Google-Ankündigung anschließend zusammen, um den Fehler zu reparieren, der sämtliche Versionen der Glibc ab Version 2.9 betrifft. Angreifer, die die Lücke ausnutzen wollen, müssen entweder einen Domainnamen kontrollieren, einen DNS-Server unter ihrer Kontrolle haben oder einen MITM-Angriff starten. Übergroße UDP- oder TCP-Antworten mit mehr als 2048 Bytes lösen den Stack Overflow aus, eine weitere DNS-Antwort kann den Stack dann überschreiben.

Wer den Patch nicht einspielt, kann als Workaround auch die vom DNS-Resolver akzeptierte Größe der DNS-Antwort reduzieren. Die Lücke erinnert an Ghost, eine Buffer-Overflow-Lücke in der Glibc, die vor fast genau einem Jahr entdeckt wurde. In diesem Fall war die Funktion "gethostbyname()" verwundbar.

Ähnliche Artikel

comments powered by Disqus

Ausgabe 08/2016

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.