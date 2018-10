(Bild: Shutterstock.com / ronstik)

Eine Systemd-Komponente in vielen modernen Linux-Systemen kann missbraucht werden, um den Rechner übers Netz zu kapern.

Ein Programmierfehler im IPv6-DHCP-Client von Systemd kann dazu missbraucht werden, verwundbare Linux-Systeme mit manipulierten DHCP-Paketen zu übernehmen. Ein Angreifer könnte über einen DHCPv6-Server im selben Netz verwundbare Systeme mit solchen Paketen ansprechen, aufwecken, den Bug ausnutzen und dann Schadcode auf den Zielsystemen ausführen.

Dieses Angriffsszenario könnte unter Umständen auch das Netz eines Internet-Dienstanbieters betreffen, falls ein Angreifer dort DHCPv6-Server unter seine Kontrolle bringen kann. Da der Angreifer über die Sicherheitslücke potenziell direkt in den Speicher der Zielsysteme schreiben kann, könnte die Lücke dazu missbraucht werden, diese zu kapern.

Betroffene Systeme

Systemd steckt unter anderem in Ubuntu, Fedora, Debian, Linux Mint, CoreOS, SUSE Linux Enterprise Server (SLES) und Red Hat Enterprise Linux (RHEL) sowie CentOS. Einige Distributionen verwenden allerdings den verwundbaren DHCPv6-Client nicht – so ist diese Komponente etwa bei RHEL 7 nicht vorinstalliert und das System dementsprechend in der Grundkonfiguration nicht verwundbar. Bei Ubuntu ist der Client zwar standardmäßig inaktiv, tritt aber sofort in Aktion, wenn der Rechner IPv6-Pakete empfängt.

Die Sicherheitslücke (CVE-2018-15688) wurde Anfang Oktober von einem Sicherheitsforscher von Googles Security-Team in der Linux-Distribution Ubuntu entdeckt und gemeldet. Bisher wurde die Lücke dort nicht geschlossen, Systemd-Chefentwickler Lennart Poettering hat allerdings bereits vor über einer Woche einen entsprechenden Patch veröffentlicht.

Kritik

Die betroffenen Linux-Distributionen arbeiten zum Großteil momentan daran, ihre Pakete des betroffenen Moduls systemd-networkd abzusichern. Sobald die aktualisierten Pakete zur Verfügung stehen, sollten sie schnellstmöglich installiert werden, um die Lücke zu stopfen.

Der Bug im DHCPv6-Client von Systemd ist Wasser auf die Mühlen der Kritiker, die Systemd als Alternative für das alteingesessene SysV-Init ablehnen – etwa die Entwickler des Debian-Forks Devuan. Systemd war in der Vergangenheit immer wieder dafür kritisiert worden, dass dessen Entwickler wichtige Linux-Systemkomponenten von Grund auf neu schreiben und dabei zum Teil gravierende Fehler machen. Andererseits zeigt die Liste der Systemd-Distributionen, wie weiten Anklang die Technik mittlerweile findet. (fab)