Schwachstelle in C-Bibliothek: Looney Tunables gefährdet zahlreiche Linux-Systeme

Update Marc Stöckel
55 Kommentare
Schwachstelle in C-Bibliothek: Looney Tunables gefährdet zahlreiche Linux-Systeme
Bild: pixabay.com / OpenClipart-Vectors

Sicherheitsforscher haben eine Pufferüberlauf-Schwachstelle im dynamischen Lader der GNU-C-Bibliothek (glibc) entdeckt, die es Angreifern ermöglicht, sich auf Linux-Systemen Root-Rechte zu verschaffen. Sie gefährdet zahlreiche Distributionen, darunter auch verschiedene Versionen von Debian, Ubuntu und Fedora.

Pufferüberlauf-Schwachstelle besteht seit April 2021

Entdecker der Looney Tunables genannten und als CVE-2023-4911 registrierten glibc-Schwachstelle sind Sicherheitsforscher der Threat Research Unit (TRU) von Qualys. Diese erklären in einem Blogbeitrag, ein Angreifer mit lokalem Zugriff könne damit auf anfälligen Linux-Systemen seine Rechte ausweiten. Von einem physischen Zugriff ist allerdings nicht die Rede, sodass der Angriff beispielsweise unter Einsatz einer Schadsoftware grundsätzlich auch aus der Ferne möglich sein sollte.

Aufgabe der inzwischen mehr als 30 Jahre alten GNU-C-Bibliothek ist es, Entwicklern grundlegende Systemfunktionen bereitzustellen. Dazu gehören unter anderem die Funktionen open, read, write, malloc, printf, getaddrinfo, dlopen, pthread_create, crypt, login, exit und mehr, wie auf der Webseite des Projekts erklärt wird. Die Looney-Tunables-Schwachstelle befindet sich den Qualys-Forschern zufolge im dynamischen Lader der Bibliothek. Dessen Aufgabe sei es etwa, die Ausführung von Programmen vorzubereiten, indem er dafür erforderliche Bibliotheken ermittle, diese in den Speicher lade und sie zur Laufzeit mit der ausführbaren Datei verknüpfe.

Die Ursache der im April 2021 mit der Veröffentlichung von Version 2.34 der glibc-Bibliothek eingeführten Pufferüberlauf-Schwachstelle liege letztendlich in einer fehlerhaften Handhabung der Umgebungsvariablen GLIBC_TUNABLES durch den dynamischen Lader. Eingeführt habe man diese Variable, um Anwendern darüber die Möglichkeit einzuräumen, das Verhalten der Bibliothek zur Laufzeit zu ändern, ohne die Anwendung oder die Bibliothek neu kompilieren zu müssen.

Forscher halten Exploit vorerst zurück

In einem separaten Bericht gehen die Forscher noch auf weitere technische Details zu der Schwachstelle ein, einen vollständigen Exploit-Code wollte das Qualys-Team aber – vermutlich aus Sicherheitsgründen – noch nicht bereitstellen. Die Sicherheitsforscher betonen jedoch, eine erfolgreiche Ausnutzung von Looney Tunables sei einfach umzusetzen und es sei daher denkbar, dass funktionierende Exploits nach der Veröffentlichung ihres Berichts in Kürze aus anderen Quellen auftauchen. „Dies könnte zahllose Systeme gefährden, insbesondere angesichts der weit verbreiteten Verwendung von glibc in allen Linux-Distributionen“, warnen die Forscher in diesem Zusammenhang.

Das Qualys-Team behauptet, es sei ihm möglich gewesen, die Sicherheitslücke in den Standardinstallationen von Fedora 37 und 38, Ubuntu 22.04 und 23.04 sowie Debian 12 und 13 erfolgreich ausnutzen. Eine Ausnahme stelle Alpine Linux dar, das anstelle von glibc auf eine alternative Bibliothek namens musl libc setze und daher nicht für Looney Tunables anfällig sei.

Erste Patches stehen bereit

Auf der offiziellen Webseite der GNU-C-Bibliothek ist 2.38 die neueste glibc-Version – veröffentlicht am 31. Juli 2023. Da Qualys die Schwachstelle nach eigenen Angaben erst Anfang September gemeldet hat, dürfte Version 2.38 allerdings noch nicht gepatcht sein. Ein gestern veröffentlichtes Sicherheitsupdate für Debian deutet allerdings darauf hin, dass den Entwicklern der jeweiligen Distributionen bereits ein Patch zur Verfügung steht. Auch für Ubuntu gibt es bereits ein entsprechendes Update.

Der Softwarehersteller Red Hat listet in einem Sicherheitshinweis zu CVE-2023-4911 außerdem ein paar Schritte auf, mit denen Administratoren die Auswirkungen der Sicherheitslücke auf ungepatchten Systemen entschärfen können. Diese müssen aber wohl nach jedem Neustart des Systems wiederholt werden. Außerdem gibt Red Hat dort an, dass für eine Ausnutzung von Looney Tunables keinerlei Nutzerinteraktion erforderlich ist.

Update

Wie aus einem Bericht von Bleeping Computer hervorgeht, haben andere Sicherheitsforscher inzwischen erste Exploits für Looney Tunables veröffentlicht. Einer davon stammt von dem Niederländer Peter Geissler, auch bekannt unter dem Namen blasty. Geissler hat seinen Exploit auf X geteilt – ein anderer Schwachstellen- und Exploit-Experte namens Will Dormann bestätigte dessen Funktionsfähigkeit daraufhin.