Schwerwiegende Lücke bedroht aktuell sehr viele Linux-Systeme

Logo, Linux, Maskottchen, Pinguin Bildquelle: Linux Foundation
Nahezu alle Linux-Systeme waren über die letzten zwei Jahre hinweg anfällig gegen Exploits, die einen zentralen Dienst ins Visier nahmen. Angreifer konnten die Schwachstelle nutzen, um im einfachsten Fall die Systeme abstürzen zu lassen - oder auch um eigenen Code in diese einzuschleusen und auszuführen.
Der Fehler verbarg sich im systemd. Dabei handelt es sich um einen der grundlegendsten Dienste aller Linux-Systeme. Das Programm wird beim booten quasi zuerst gestartet und ist dann für das Starten und Betreuen aller folgenden Prozesse zuständig. Code, der über eine Sicherheitslücke in diesem Demon eingeschleust wird, hat entsprechend natürlich die weitestgehenden Rechte.

Entdeckt und beschrieben wurde das Problem vom Ubuntu-Entwickler Chris Coulson unter dem Namen CVE-2017-9445. Dieser entwickelte einen Demo-Exploit, bei dem die Payload einfach über TCP-Pakete eingeschleust wurde. Konkret wurde die Schwachstelle hier über Rückmeldungen eines DNS-Dienstes getriggert. Es hätte also in bestimmten Fällen genügt, einen entsprechend manipulierten Server ins Netz zu hängen und dann zu warten, bis nach und nach Rechner vorbeischauen und sich entsprechend schädliche Anweisungen selbst abholen.


Der Fehler konnte bis zur systemd-Version 223 zurückverfolgt werden, die im Juni 2015 veröffentlicht wurde. Entsprechend dürfte er inzwischen in weitgehend allen Linux-Distributionen zu finden sein, die im Einsatz sind - mit Ausnahme der wenigen, die noch immer auf das veraltete SysV setzen, um die Initialisierung des Systems einzuleiten.

Allerdings kann ein Exploit nicht in allen Distributionen direkt funktionieren. Das aktuellste Debian kommt beispielsweise in einer Standard-Konfiguration daher, in der systemd nicht mit DNS-Auflösungen in Berührung kommt. Ältere Distributionen verfügten hingegen noch nicht über eine betroffene Version des Demons. Ebenso wie bei Ubuntu, Red Hat und anderen wird es aber auf jeden Fall Patches über die jeweils bekannten Wege geben.

Download UNetbootin - Live-USB-Sticks mit Linux erstellen Logo, Linux, Maskottchen, Pinguin Logo, Linux, Maskottchen, Pinguin Linux Foundation
Diese Nachricht empfehlen
Kommentieren66
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 11:50 Uhr ZOJI Z6 3G Smartphone Ohne VertragZOJI Z6 3G Smartphone Ohne Vertrag
Original Amazon-Preis
79,98
Im Preisvergleich ab
?
Blitzangebot-Preis
52,99
Ersparnis zu Amazon 34% oder 26,99

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles

Tipp einsenden