Login
Newsletter
Werbung

Do, 29. Januar 2015, 09:25

Software::Security

Hype und Panne bei der Veröffentlichung des GHOST-Fehlers

Die Firma Qualys, die gestern eine Sicherheitslücke in glibc veröffentlichte, hat eine PR-Agentur für die medienwirksame Umsetzung beauftragt. Offenbar kam es durch diese Firma zu einer verfrühten Veröffentlichung einer Version der Meldung.

GHOST-Sicherheitslücke in glibc

qualys.com

GHOST-Sicherheitslücke in glibc

Die Sicherheitslücke GHOST, die von Qualys gestern verkündet worden war, ist zwar ernstzunehen, aber keine Katastrophe wie Heartbleed. Verschiedene Faktoren tragen dazu bei. Zum einen ist eine obsolete Funktion betroffen, die von vielen Programmen schon gar nicht mehr benutzt wird. Andere Programme rufen sie erst nach ausreichender Prüfung der Eingabeparameter auf. In der offiziellen Version von glibc ist das Problem längst behoben - seit Version 2.18 vom August 2013. Die Distributionen, die das Problem übersehen hatten, da es ursprünglich nicht als sicherheitsrelevant erkannt wurde, haben jetzt auch Updates veröffentlicht. Und nicht zuletzt haben Angreifer es auch nicht leicht, die nötigen Bedingungen zu erfüllen, zu denen ein Hostname gehört, der nur aus Ziffern und Punkten besteht, 1024 Zeichen lang ist und als gültige IP-Adresse erkannt wird.

Das erklärt, warum keine Auswirkung des Fehlers in den über 14 Jahren seines Bestehens bekannt wurde. Qualys selbst analysierte etliche Programme und konnte nur in einem einzigen Server-Programm, im Mailserver Exim, eine Verwundbarkeit feststellen, und auch diese besteht nur, wenn eine Nicht-Standard-Konfiguration verwendet wird. Das Unternehmen hatte ursprünglich nicht genauer erläutert, welche Programme noch analysiert wurden. Auf Anfrage reichte es nun eine Liste nach. Demnach und nach weiteren Informationen sind apache, cups, dovecot, gnupg, isc-dhcp, lighttpd, mariadb/mysql, nfs-utils, nginx, nodejs, openldap, openssh, postfix, proftpd, pure-ftpd, rsyslog, samba, sendmail, squid, sysklogd, syslog-ng, tcp_wrappers, vsftpd und xinetd nicht angreifbar. Auswirkungen könnte die Lücke aber auf andere Programme haben, bis hin zu Webbrowsern. Selbst wenn dies bis jetzt nicht zweifelsfrei feststeht, sollte das Update für glibc von jedem Benutzer eingespielt werden.

Für einige Sicherheitsforscher hat die Veröffentlichung von Qualys noch weitere Merkwürdigkeiten. So hat die Firma eine PR-Agentur (AL'X Communication) für die Verbreitung der Ankündigung bemüht. Dabei kam es zu einer Panne, als eine französischsprachige Version der Mitteilung mehrere Stunden vor dem vereinbarten koordinierten Veröffentlichungstermin erschien. Koordinierte Veröffentlichungen dienen dazu, die Ankündigungen und korrigierte Pakete zu einer Sicherheitslücke zeitgleich zur Verfügung zu stellen, um Kriminellen kein Zeitfenster für Angriffe zu lassen. Qualys entschuldigte sich anschließend für den Vorfall.

Die Mitarbeit der PR-Agentur führte zwar zu einer Ankündigung in hervorragender Qualität, wie auch Michal Zalewski anerkannte. Auf der anderen Seite zeigte er sich »zutiefst enttäuscht«, dass die erste Kunde von der Lücke durch ein Versehen der PR-Agentur kam. Noch bedenklicher ist für ihn, dass die PR-Agentur von der Lücke Tage oder Wochen früher wusste als Administratoren. Damit seien die PR-Agenturen ein lohnendes Ziel für Spionage. Zudem kann man sich leicht vorstellen, dass die Kommunikation zwischen Qualys und der Agentur über unverschlüsselte E-Mail lief.

Das - wahrscheinlich sehr kurzfristig entstandene - Logo von GHOST wurde dagegen zum Ziel von Spott. Dieser bezog sich vor allem auf die technische Qualität des JPEG-Bildes und stellte fest, dass ein PNG-Bild bei höherer Qualität deutlich kleiner gewesen wäre. Zudem ist der abgebildete Shell-Prompt kein Standard Unix-Shell-Prompt. Er erinnert mehr an MS-DOS, vielleicht aber auch an den Mac, auf dem das Logo mit einer veralteten und potentiell unsicheren Version von Photoshop erzeugt wurde.

Werbung
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung