UPDATE: DFN-CERT-2015-0109 GNU Lib C: Eine Schwachstelle ermöglicht die Ausführung beliebigen Programmcodes [Linux][Debian][RedHat][SuSE][Netzwerk]

UPDATE: DFN-CERT-2015-0109 GNU Lib C: Eine Schwachstelle ermöglicht die Ausführung beliebigen Programmcodes [Linux][Debian][RedHat][SuSE][Netzwerk]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (29.01.2015):
Citrix, Cisco, Juniper Networks und F5 Networks stellen Informationen zu
der Verwundbarkeit ihrer Produkte zur Verfügung, Details finden sich im
Abschnitt “Beschreibung”. Red Hat veröffentlicht für weitere Produkte
Sicherheitsupdates.
Version 1 (28.01.2015):
Neues Advisory

Betroffene Software:

EGLIBC
GNU glibc < 2.18 Betroffene Plattformen: F5 Networks BIG-IP Protocol Security Module (PSM) >= 10.1.0
F5 Networks BIG-IP Protocol Security Module (PSM) <= 10.2.4 F5 Networks BIG-IP Protocol Security Module (PSM) >= 11.0.0
F5 Networks BIG-IP Protocol Security Module (PSM) <= 11.4.1 Juniper Junos Space SUSE Software Development Kit 11 SP3 Enterprise Canonical Ubuntu Linux 10.04 Lts Canonical Ubuntu Linux 12.04 Lts Debian Linux 7.7 Wheezy Debian Linux 8.0 Jessie SUSE Linux Enterprise Desktop 11 SP3 SUSE Linux Enterprise Server 10 SP4 LTSS SUSE Linux Enterprise Server 11 SP1 LTSS SUSE Linux Enterprise Server 11 SP2 LTSS SUSE Linux Enterprise Server 11 SP3 SUSE Linux Enterprise Server 11 SP3 VMware Red Hat Enterprise Linux 4 Extended Life Cycle Support Red Hat Enterprise Linux Desktop 5 Client Red Hat Enterprise Linux Desktop 6 Red Hat Enterprise Linux Desktop 7 Red Hat Enterprise Linux HPC Node 6 Red Hat Enterprise Linux HPC Node 7 Red Hat Enterprise Linux Server 5 Red Hat Enterprise Linux Server 5.6 Long Life Red Hat Enterprise Linux Server 5.9 Long Life Red Hat Enterprise Linux Server 5.9.z EUS Red Hat Enterprise Linux Server 6 Red Hat Enterprise Linux Server 6.2 AUS Red Hat Enterprise Linux Server 6.4 AUS Red Hat Enterprise Linux Server 6.4.z EUS Red Hat Enterprise Linux Server 6.5 AUS Red Hat Enterprise Linux Server 6.5.z EUS Red Hat Enterprise Linux Server 6.6.z EUS Red Hat Enterprise Linux Server 7 Red Hat Enterprise Linux Workstation 6 Red Hat Enterprise Linux Workstation 7 Eine Schwachstelle, die bereits seit dem Jahr 2000 in der GNU Lib C existiert, ermöglicht einem entfernten Angreifer die Ausführung von beliebigem Programmcode mit Benutzerrechten. Die Schwachstelle ist weit verbreitet und aufgrund der Ankündigung der Verbreitung eines Exploits (Schadcodes) als kritisch einzustufen. Vielerorts wird die Schwachstelle unter dem Namen 'GHOST' geführt. Red Hat stellt für verschiedene Red Hat Enterprise Linux 5, 6 und 7 Produkte Sicherheitsupdates bereit. Canonical behebt die Schwachstelle für die Distributionen Ubuntu 10.04 LTS und Ubuntu 12.04 LTS. Für die Debian Version der glibc, die eglibc, wird die Schwachstelle für die Distributionen Jessie (8.0) und Wheezy (7.7) behoben, wobei für Wheezy noch drei weitere Schwachstellen gefixt werden. Für SUSE Linux Enterprise 11 SP3 stehen für Software Development Kit, Server, Server für VMware und Desktop Sicherheitsupdates bereit, wie auch für SUSE Linux Enterprise Server 11 SP2 LTSS, Server 11 SP1 LTSS und Server 10 SP4 LTSS. IBM und F5 Networks befinden sich noch in der Analysephase, welche Produkte betroffen sind, haben aber bereits Referenzen bekannt gegeben, über die alle weitere Erkenntnisse publiziert werden. Update 1: Citrix hat eine Sicherheitsinformation herausgegeben und betont gegenüber Kunden, die Citrix Produkte auf Linux Plattformen betreiben, die Notwendigkeit, die für das Betriebssystem verfügbaren Sicherheitsupdates zeitnah einzuspielen. Citrix NetScaler MPX und VPX sowie alle Windows-basierten Komponenten von XenDesktop und XenApp beinhalten oder benutzen keine der verwundbaren Methoden und sind daher nicht von der Schwachstelle betroffen. Der Citrix XenServer nutzt eine verwundbare Version der glibc, aber bisherige Tests haben nicht zu einer erfolgreichen Ausnutzung der Schwachstelle geführt. Die Analysen bezüglich dieses und anderer Produkte sind allerdings noch nicht abgeschlossen, weitere Erkenntnisse werden auf der referenzierten Webseite veröffentlicht. Red Hat stellt für die Produkte Red Hat Enterprise Linux Server EUS v.5.9.z, v.6.4.z und v.6.5.z, Server AUS v.6.2, v.6.4 und v.6.5, Long Life Server v.5.6 und v.5.9 sowie Enterprise Linux 4 ELS Sicherheitsupdates bereit. Cisco hat ein Security Advisory veröffentlicht, hat bisher aber weder Analysen zu verwundbaren noch zu nicht verwundbaren Produkten abgeschlossen. Die referenzierte Webseite wird fortlaufend mit neuen Erkenntnissen aktualisiert. Juniper Networks informiert darüber, dass Junos OS von der Schwachstelle nicht betroffen ist, da es die GNU Lib C nicht verwendet. Junos Space wurde als betroffen identifiziert, die Analysen zu weiteren Produkten, wie z.B. NetScreen, sind noch nicht abgeschlossen. Alle weiteren Erkenntnisse, sowie Sicherheitsupdates werden über die angegebene Webseite veröffentlicht. Generell empfiehlt Juniper, um die Auswirkungen dieser und anderer Schwachstellen möglichst gering zu halten, Zugriffslisten und Firewall Filter zu nutzen, um den administrativen Zugriff auf Netzwerksysteme nur von vertrauenswürdigen Netzwerken und Hosts zuzulassen. F5 Networks hat weitere Informationen bereitgestellt und gibt für mehrere Produkte, wie auch für das BIG-IP Protocol Security Module (PSM), bekannt, dass diese eine verwundbare Version der Bibliothek einsetzen und die fragliche Funktion nutzen. Allerdings konnte bis zu diesem Zeitpunkt noch nicht festgestellt werden, ob die Funktion innerhalb der Produkte auch tatsächlich in irgendeiner Form ausnutzbar ist. Patch: Debian Security Advisory DSA-3142-1 https://www.debian.org/security/2015/dsa-3142

Patch:

Red Hat Security Advisory RHSA-2015:0090

http://rhn.redhat.com/errata/RHSA-2015-0090.html

Patch:

Red Hat Security Advisory RHSA-2015:0092

http://rhn.redhat.com/errata/RHSA-2015-0092.html

Patch:

SUSE Security Update SUSE-SU-2015:0158-1

http://lists.opensuse.org/opensuse-security-announce/2015-01/msg00028.html

Patch:

Ubuntu Security Notice USN-2485-1

http://www.ubuntu.com/usn/usn-2485-1/

Patch:

Juniper Networks Security Advisory JSA10671

http://kb.juniper.net/index?page=content&id=JSA10671&actp=RSS

Patch:

Red Hat Security Advisory RHSA-2015:0099

http://rhn.redhat.com/errata/RHSA-2015-0099.html

Patch:

Red Hat Security Advisory RHSA-2015:0101

http://rhn.redhat.com/errata/RHSA-2015-0101.html

CVE-2015-0235: ‘GHOST’-Schwachstelle in der glibc

In der GNU Lib C existiert ein Heap-basierter Pufferüberlauf in der Funktion
‘__nss_hostname_digits_dots()’, die in den Funktionen ‘gethostbyname()’ und
‘gethostbyname2()’ genutzt wird. Ein entfernter, nicht authentisierter
Angreifer, der in der Lage ist, eine Anwendung zum Aufruf einer dieser
beiden Funktionen zu bringen, kann die Schwachstelle nutzen, um beliebigen
Programmcode mit den Rechten des Anwenders, der die aufrufende Anwendung
betreibt, zur Ausführung zu bringen oder einen Systemabsturz zu bewirken.
Die Schwachstelle kursiert im Internet unter dem Namen ‘GHOST’ .

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0109/

Debian Security Advisory DSA-3142-1:
https://www.debian.org/security/2015/dsa-3142

Red Hat Security Advisory RHSA-2015:0090:
http://rhn.redhat.com/errata/RHSA-2015-0090.html

Red Hat Security Advisory RHSA-2015:0092:
http://rhn.redhat.com/errata/RHSA-2015-0092.html

SUSE Security Update SUSE-SU-2015:0158-1:
http://lists.opensuse.org/opensuse-security-announce/2015-01/msg00028.html

Ubuntu Security Notice USN-2485-1:
http://www.ubuntu.com/usn/usn-2485-1/

F5 Networks Security Advisory sol16057:
http://support.f5.com/kb/en-us/solutions/public/16000/000/sol16057.html?ref=rss

Lotus-ADV-gnu_c_library_glibc_vulnerability_cve_2015_0235:
https://www-304.ibm.com/connections/blogs/PSIRT/entry/gnu_c_library_glibc_vulnerability_cve_2015_0235?lang=en_us

Schwachstelle CVE-2015-0235 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0235

Juniper Networks Security Advisory JSA10671:
http://kb.juniper.net/index?page=content&id=JSA10671&actp=RSS

Red Hat Security Advisory RHSA-2015:0099:
http://rhn.redhat.com/errata/RHSA-2015-0099.html

Red Hat Security Advisory RHSA-2015:0101:
http://rhn.redhat.com/errata/RHSA-2015-0101.html

Cisco Security Advisory cisco-sa-20150128-ghost:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150128-ghost/

Citrix Security Advisory CTX200391:
http://support.citrix.com/article/CTX200391

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben