{"id":1959,"date":"2015-02-04T16:25:39","date_gmt":"2015-02-04T15:25:39","guid":{"rendered":"https:\/\/www.psw-group.de\/blog\/?p=1959"},"modified":"2026-03-13T11:27:40","modified_gmt":"2026-03-13T10:27:40","slug":"linux-auf-geisterfahrt-sicherheitsluecke-ghost-in-der-glibc-bibliothek","status":"publish","type":"post","link":"https:\/\/www.psw-group.de\/blog\/linux-auf-geisterfahrt-sicherheitsluecke-ghost-in-der-glibc-bibliothek\/","title":{"rendered":"Linux auf Geisterfahrt: Sicherheitsl\u00fccke Ghost in der Glibc-Bibliothek"},"content":{"rendered":"

\u00dcberwiegend auf Linux-Servern<\/strong> treibt eine fast seit 15 Jahren<\/strong> bekannte und eigentlich 2013 geschlossene Sicherheitsl\u00fccke<\/strong> erneut ihr Unwesen. B\u00f6sartige DNS-Antworten erlauben es Angreifern, Code auszuf\u00fchren<\/strong>. Die Sicherheitsl\u00fccke \u201eGhost\u201c<\/strong> geistert in der Standard-C-Bibliothek Glibc herum.<\/p>\n

<\/p>\n

Linux Ghost-L\u00fccke<\/h2>\n

Bereits seit Version 2.2 aus November 2000 existiert der Fehler in der Glibc; entdeckt und behoben wurde sie schon 2013 von den Glibc-Entwicklern. Der Fehler wurde jedoch nie als kritisches Sicherheitsproblem wahrgenommen. Neu entdeckt wurde die L\u00fccke von der Firma Qualys, die diese Sicherheitsl\u00fccke \u201eGhost\u201c taufte, da sie die Funktion gethostbyname() betrifft. Qualys sieht darin ein \u201eernstes Risiko\u201c, w\u00e4hrend Linux-Distributor Red Hat von einer \u201ekritischen\u201c Sicherheitsl\u00fccke spricht<\/a>.<\/p>\n

Wird eine fehlerhafte IP-Adresse \u00fcbergeben, kann schlimmstenfalls b\u00f6sartiger Code ausgef\u00fchrt werden. Oftmals d\u00fcrfte eine einfache E-Mail daf\u00fcr ausreichen, die Sicherheitsl\u00fccke auszunutzen, da es viele Server erm\u00f6glichen, Hostnamen zu IP-Adressen aufzul\u00f6sen. Ghost macht es Angreifern also sehr leicht, Linux-Server zu \u00fcbernehmen. Angreifer k\u00f6nnen durch den Fehler vier (32-Bit-System) beziehungsweise acht Bytes (64-Bit-System) \u00fcberschreiben. Der Speicher kann ausschlie\u00dflich mit ASCII-Werten der Zahlen \u00fcberschrieben werden. Dieser Einschr\u00e4nkung zum Trotz ist das Ausnutzen laut Qualys ein Leichtes.<\/p>\n

Unter welchen Umst\u00e4nden kann die L\u00fccke ausgenutzt werden?<\/h3>\n

Bei gethostbyname() handelt es sich um eine veraltete Funktion, weshalb sich aktuelle Applikationen an die Funktion getaddrinfo() wenden. Die meisten Programme rufen zun\u00e4chst die Funktion inet_aton() auf und erst, wenn diese fehlschl\u00e4gt, wird gethostbyname() genutzt. Das sind nicht wenige Einschr\u00e4nkungen, allerdings konnten die Qualys-Experten diverse verwundbare Programme finden; unter anderem den Mailserver Exim oder das Mailfiltersystem procmail.<\/p>\n

Das Problem liegt darin, dass Glibc-Versionen ab 2.18 nicht mehr betroffen sind. In ihrer Standardausf\u00fchrung nutzen zahlreiche Linux-Distributionen jedoch veraltete Glibc-Versionen: So arbeitet die Debian-Version 7.0 Wheezy mit Glibc 2.13, Red Hat Enterprise in der aktuellen Version 7 setzt auf Glibc 2.17. Die aktuellen Versionen dieser Distributionen sind deshalb betroffen, da Ghost zun\u00e4chst nicht als kritische Sicherheitsl\u00fccke eingestuft wurde. In der ausf\u00fchrlichen Beschreibung von Qualys<\/a> finden Sie weiterf\u00fchrende Informationen sowie einen Beispielcode, mit dem Sie pr\u00fcfen k\u00f6nnen, ob auch Ihr System betroffen ist.<\/p>\n

Handlungsempfehlung<\/h3>\n

Nutzen Sie ein Linux-System \u2013 egal, ob Server oder Desktop \u2013 ist es ratsam, aktualisierte Pakete schnellstm\u00f6glich zu installieren. Arbeiten Sie unter Debian Wheezy, vermeiden Sie die Sicherheitsl\u00fccke Ghost mit der j\u00fcngst zur Verf\u00fcgung gestellten Version 2.13-38+deb7u7. Verwenden Sie eine Distribution, die die aktuelle Version von Glibc nutzt, sind Sie nicht betroffen. Dies trifft auf Nutzer der aktuellen Versionen der Distributionen Ubuntu (inkl. LTS-Version 14.04), OpenSUSE, Gentoo und Fedora zu. Setzen Sie \u00e4ltere Versionen dieser Distributionen ein, sollten Sie ebenfalls schnellstm\u00f6glich aktualisieren. Haben Sie Fragen zu Ghost, stellen Sie diese gerne in den Kommentaren \u2013 unsere Sicherheitsexperten antworten Ihnen.<\/p>\n