Go to Top

Wieder eine glibc Sicherheitslücke – CVE-2015-7547 betrifft Linux-Systeme

Am Dienstag, den 16. Februar 2016 veröffentlichte Google einen Blogeintrag, der eine Sicherheitslücke in der GNU C Bibliothek (glibc) offenlegte. glibc ist eine der fundamentalsten Bibliotheken eines Linux-Betriebssystems und wird in vielen Produkten verwendet, sodass diese Gefahr laufen für „Remote Exploitation“ anfällig zu sein. Betroffen sind alle Versionen von glibc ab einschließlich Version 2.9.

Die Schwachstelle, identifiziert als CVE-2015-7547, ist, was die Größenordnung der betroffenen Systeme anbetrifft, vergleichbar mit Heartbleed und Shellshock, jedoch weniger alarmierend, da sie bedeutend schwieriger auszunutzen ist. Erfolgreiche Ausnutzung dieser Schwachstelle erfordert, dass das potentielle Opfer mit einem kompromittierten/bösartigen DNS-Server kommuniziert oder Ziel einer Man-in-the-middle-Attacke ist.

Nichtsdestotrotz wird die Lücke als kritisch betrachtet, da sie zur „Remote Exploitation“ des Client-Systems führen kann.

Im Detail: Die glibc Funktion „getaddrinfo()“ scheitert in bestimmten Szenarien ordnungsgemäß Speicher zuzuweisen, was zu einem Pufferüberlauf beim clientseitigen DNS-Resolver führt. glibc weist via der „alloca()“-Funktion 2048 Bytes an Speicher im Stack zu, der für die Antwort eines DNS-Querys vorgesehen ist. Ist die Antwort größer als 2048 Bytes wird ein neuer Puffer im Heap reserviert. Unter bestimmten Bedingungen findet hier eine Fehlzuweisung statt, sodass die mehr als 2048 Bytes große DNS-Antwort doch im zu kleinen Stack-Speicherbereich abgelegt wird und es kommt zum Pufferüberlauf.

Weitere Erläuterungen sind auch auf der Seite von SonicWALL zu finden.

Das SonicOS ist hierbei nicht betroffen und DELL SonicWALL veröffentlichte am Dienstag, den 16. Februar – innerhalb von ca. 12h nach Bekanntwerden der Lücke – eine IPS Signatur, die Netzwerke vor dieser Attacke schützt.

 

Betroffene Systeme

Sonicwall
  • Firewall NSA / SM / TZ mit SonicOS: Nicht betroffen.
  • SRA/SMA X000 Series: Die beiden unterstützten Versionen SRA/SMA x000 v10.7.2 und 3.0 sind beide verwundbar.  Ein Hotfix wurde entwickelt und geht heute, am 18. Februar, QA.
  • SRA X00 Series: Alle SRA Firmware Versionen vor 8.1.0.1-11sv für SRA 4600/1600/Virtual Appliance und 8.0.0.4-25sv für SRA 4200/1200 sind betroffen. Für die aktuellste Version – 8.1 – wird es einen Patch geben.  Version 8.0.0.5-27sv hat QA bereits passiert und enthält bereits den Hotfix
  • Email Security: Sehr wahrscheinlich nicht betroffen, da keine der Services die betroffen sein könnten mit öffentlichen DNS-Servern kommunizieren. Weiterhin unter Beobachtung.
  • GMS/Analyzer: Weiterhin unter Beobachtung.
  • WXA: Theoretisch verwundbar und ein Hotfix ist in Arbeit. Praktisch sind die WAN Acceleration appliances allerdings durch die Firewall geschützt.
Sirrix
  • Zur Gefährdung für Sirrix Produkte folgende Entwarnung des Sirrix-Supports:
    „In unserem Sicherheitskonzept von Browser in the Box wird die Browser VM mit ihrem Betriebssystem (Debian) und allen Applikationen (Browser, Java, Flash,…) per se als nicht vertrauenswürdig betrachtet. Wir gehen hier immer von unbekannten Sicherheitslücken aus. Diese Sicherheitslücken beeinträchtigen die Sicherheit von Browser in the Box jedoch nicht, das Hostsystem Windows bleibt durch die Isolation mit virtuellen Maschine geschützt.
     
    Darüber hinaus gewährleistet wir innerhalb der VM durch eine aktive SELinux Richtlinie, dass Exploits auch in der VM keinen uneingeschränkten Zugriff erhalten können.“

Sophos

  • Wendet sich an folgende Sophos Produkte und Versionen:Sophos Web Appliance
    Sophos UTM Software Appliance v9.350
    Sophos UTM Software Appliance v9.300
    Sophos UTM Software Appliance v9.200
    Sophos UTM Software Appliance v9.100
    Sophos UTM Manager
    Sophos iView
    Sophos Firewall XG Software
    Sophos Firewall Manager
    Sophos Email Appliance

    Welche Produkte sind betroffen und wie wird die Lücke behoben?

    Sophos Produkt Betroffen Fix
    Sophos XG Firewall 15.01.0 Ja TBA
    Sophos Firewall Manager Ja TBA
    Sophos UTM 9.1, 9.2, 9.3, 9.35, 9.4 Ja Security Update
    v9.355001
    Sophos UTM Manager (SUM) 4 Ja Patch Datum 03/03/16
    Sophos iView Ja TBA
    Sophos E-Mail Appliance 3 Nein Aktuelle Version
    Sophos Web Appliance 4 Ja TBA
    RED Provisoning Server Ja TBA
    PureMessage for UNIX Ja TBA

Alle betroffenen Systeme sollten schleunigst aktualisiert werden. Falls Sie eine Dell Sonicwall Firewall einsetzen und IPS aktiviert haben, sind Ihre Systeme bereits geschützt, sobald Sie die betreffenden Signaturen aktiviert haben. – Daniel Franz (IT-Security Consultant)

Folgende IPS Signaturen wurden bisher veröffentlicht

  • 16. Februar: IPS
    • 11465 glibc getaddrinfo buffer overflow
  • 17. Februar: „Aggressivere“ Signaturen wurden veröffentlicht, allerdings im „Low Priority Rating“ um etwa False Positives zu vermeiden. Diese blocken DNS-Antworten mit bestimmten Charakteristika die auf einen Angriff hindeuten und/oder abnormalem Verhalten entsprechen. Das DELL SonicWALL Team überwacht deren Trefferquoten und wird sie gegebenenfalls in der Priorität upgraden.
    • 11467 DNS glibc getaddrinfo buffer overflow 2
    • 11468 DNS glibc getaddrinfo buffer overflow 3
    • 11469 DNS glibc getaddrinfo buffer overflow 4
    • 11470 DNS glibc getaddrinfo buffer overflow 5

Wir empfehlen unseren Kunden diese Signaturen zu aktivieren und das Verhalten zu beobachten, denn es kann durchaus noch zu False Positives kommen. Die manuelle Aktivierung ist zurzeit noch nötig, da die Signaturen als LOW eingestuft sind.

 

Weitere Links

  • https://www.us-cert.gov/ncas/current-activity/2016/02/17/GNU-glibc-Vulnerability
  • http://www.kb.cert.org/vuls/id/457759
  • https://sourceware.org/ml/libc-alpha/2016-02/msg00416.html

Sollten Fragen aufkommen kann man uns unter folgender Nummer erreichen:
07665 932 122 22

Oder Sie schreiben uns eine E-Mail an:
support@data-sec.net

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.