Canonical warnt vor kritischer Linux-Lücke

Angreifer können unter Umständen Schadcode einschleusen und ausführen. Die Schwachstelle erlaubt aber auch Denial-of-Service-Angriffe. Sie steckt im Hintergrundprogramm systemd. Ubuntu und Debian bieten bereits Patches an.

Canonical warnt in einem Security Advisory vor einer kritischen Sicherheitslücke in Ubuntu. Entdeckt wurde die Anfälligkeit, die auch andere Linux-Distributionen wie Mint betrifft, von Chris Coulson, der als Softwareentwickler beim Ubuntu-Herausgeber arbeitet. Demnach können Hacker mithilfe speziell präparierter TCP-Pakete Schadcode einschleusen und ausführen.

Linux-Maskottchen Tux (Grafik: Larry Ewing)Die Anfälligkeit mit der Kennung CVE-2017-9445 steckt im Hintergrundprogramm systemd, dessen Aufgabe es ist, alle anderen Hintergrundprozesse zu starten und zu verwalten. Die Schwachstelle kann auch für Denial-of-Service-Angriffe benutzt werden, da spezielle TCP-Pakete auch einen Absturz von systemd auslösen können.

„Ein schädlicher DNS-Server kann den Fehler ausnutzen, indem er mit einem speziell gestalteten TCP-Paket antwortet und systemd-resolved dazu bringt, einen zu kleinen Puffer zuzuweisen“, schreibt Coulson in einem Blogeintrag. Der Fehler trat erstmals in Version 223 auf, die bereits im Jahr 2015 erschien. Danach seien alle systemd-Versionen bis einschließlich 233 betroffen.

Canonical räumt dem jetzt veröffentlichten Patch eine hohe Priorität ein. Er ist für Ubuntu 17.04 und das Long Term Support Release Ubuntu 16.04 erhältlich. Debian weist darauf hin, dass die Versionen Stretch und Buster anfällig sind, jedoch nicht die Versionen Wheezy und Jessie. In Debian Stretch sei zudem ab Werk die Funktion systemd-resolved nicht aktiviert, was den Schweregrad der Anfälligkeit auf „gering“ herabstufe.

Systemd wurde ursprünglich von Entwicklern von Red Hat programmiert. Der Hintergrunddienst wird aber auch von anderen Linux-Distributionen verwendet, darunter neben Debian und Ubuntu auch von Mint, openSUSE und Red Hat Fedora.

HIGHLIGHT

Wettbewerbsvorteile durch effizienten Kundenservice

Telefonieren Sie noch oder skypen Sie schon, lautete einmal ein einprägsamer Werbespruch, der einfach zum Ausdruck brachte, dass eine ältere Technologie von etwas Besserem ersetzt wird. Das Gleiche gilt für die Kommunikation mit Kunden. Nutzen Sie schon Communication Enabled Business Processes (CEBP) oder warten Sie, bis der Wettbewerb Sie überholt

[mit Material von Liam Tung, ZDNet.com]

Tipp: Wie gut kennen Sie sich mit Open Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Betriebssystem, Canonical, Linux, Mint, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

2 Kommentare zu Canonical warnt vor kritischer Linux-Lücke

Kommentar hinzufügen
  • Am 30. Juni 2017 um 12:14 von Marcus

    Meines wissens ist die LTS Version die 16.04

    • Am 30. Juni 2017 um 12:40 von Kai Schmerer

      Stimmt. Danke für den Hinweis.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *