Einloggen auf heise online

    • News
    • heise Developer
    • heise Netze
    • heise Open Source
    • heise Security
    • c't
    • iX
    • Technology Review
    • c't Fotografie
    • Mac & i
    • Make
    • Telepolis
    • heise Autos
    • TechStage
    • tipps+tricks
    • heise Download
    • Preisvergleich
    • Whitepapers
    • Webcasts
    • Stellenmarkt
    • Karriere Netzwerk
    • Gutscheine
    • IT-Markt
    • Tarifrechner
    • Netzwerk-Tools
    • Spielen bei Heise
    • heise shop
    • heise Select
    • Artikel-Archiv
    • Zeitschriften-Abo
    • Veranstaltungen
    • Arbeiten bei Heise
    • Mediadaten
heise Security
sponsored by Logo HOB
  • News
    • Archiv
    • 7-Tage-News
  • Hintergrund
  • Events
  • Foren
  • Kontakt
  1. Security
  2. 7-Tage-News
  3. 06/2014
  4. Zwanzig Jahre alte Lücke in Lempel-Ziv-Kompression gefährdet…

Zwanzig Jahre alte Lücke in Lempel-Ziv-Kompression gefährdet Linux-Nutzer Update

Alert! Stand: 27.06.2014 14:17 Uhr Fabian A. Scherschel
vorlesen

Diese Sicherheitslücke ist mit Curiosity auf den Mars geflogen: Der Bug im LZO-Verfahren existiert seit 1994; die Variante LZ4 ist auch betroffen. Bei FFmpeg und Libav kann Schadcode aus dem Netz ausgeführt werden, was vor allem Linux-Nutzer bedroht.

Mit der Entdeckung eines Ganzzahlüberlaufes im Entwurf des alteingesessenen Kompressionsverfahrens LZO hat Don A. Bailey von der Sicherheitsfirma Lab Mouse Security eine Büchse der Pandora geöffnet. Das ursprüngliche Design des Lempel-Ziv-Oberhumer-Verfahrens (LZO) ist so gut, dass es seit seiner Veröffentlichung 1994 immer wieder kopiert wurde. Der LZO-Algorithmus und die neuere Variante LZ4 stecken in sehr viel proprietärer und Open-Source-Software.

Unter anderem läuft der Code im Linux-Kernel, dem Bootloader GRUB2, Busybox, FFmpeg, MPlayer2, Libav, OpenVPN und dem Junos OS von Juniper. Da all diese Implementierungen auf dem Originalentwurf oder aufeinander aufbauen, setzen auch sie den fatalen Ganzzahlüberlauf um.

Anzeige
LZO-Bug
Die Lücke schlummerte in diesem Code seit zwei Jahrzehnten (hier am Beispiel von Linux)

LZO ist aber nicht gleich LZO und so funktioniert ein Angriff auf die Schwachstelle je nach betroffener Software subtil anders. Bei manchen Umsetzungen kann ein Angreifer einen Absturz und damit Denial-of-Service auslösen, bei anderen sogar Schadcode ausführen. Bailey hatte die Lücke schon vor einiger Zeit an die Entwickler einer Vielzahl der betroffenen Programme gemeldet. Geschlossen wurde sie in Version 3.15.2 des Linux-Kernels, FFmpeg hat mit Version 2.2.4 Abhilfe geschaffen. Der Original-LZO-Quellcode ist seit Version 2.07 sicher. Weitere Projekte haben entsprechende Patches in ihren Quellcode eingepflegt oder arbeiten noch an einer Lösung des Problems.

Bis jetzt hat Bailey noch keine Angaben gemacht, wie die verschiedenen Schwachstellen in betroffenen Projekten konkret ausgenutzt werden können. Er will Entwicklern und Distributoren Zeit geben, ihre Updates auszuliefern. Der Linux-Kernel ist wohl durch die Lücke in LZ4 anfällig für die Ausführung von Schadcode aus dem Netz, allerdings nur auf 32-Bit-Systemen.

Linux-Nutzer sollten Vorsicht walten lassen

Am kritischsten sieht Bailey die Lücke in den FFmpeg- und Libav-Bibliotheken. Diese sind vor allem auf Linux-Systemen sehr verbreitet und sollten nicht mehr benutzt werden, bis den Nutzern die abgedichtete Version zur Verfügung steht. Außerdem nutzen viele Linux-Distributionen das MPlayer2-Paket standardmäßig als Media Player in Firefox, Chrome und anderen Browsern. Diese Plug-ins sind dann ebenfalls anfällig für die Ausführung von Schadcode aus dem Netz und sollten dringend deaktiviert werden, bis ein Update bereit steht.

Yves-Alexis Perez vom Sicherheitsteam der Distribution Debian hat auf der OSS-Security-Mailingliste zusammengetragen, welche Open-Source-Software von der Lücke betroffen ist. Die Schwachstellen im Linux-Kernel wurden unter CVE-2014-4611 und CVE-2014-4608 katalogisiert; die Lücke in der originalen LZO-Umsetzung erhielt CVE-2014-4607.

[Update 27.06.2014 20:43 Uhr]

Yann Collet, der Autor der Referenz-Implementation von LZ4, bestreitet in einem Blog-Beitrag die Brisanz der von Bailey offengelegten Lücke. Collet sagt, dass bei LZ4 nur 32-Bit-Systeme anfällig seien und die Lücke bei "keiner der bekannten Anwendungen" seines Algorithmus ausnutzbar sei. Allerdings bezieht er sich dabei allein auf LZ4 und lässt die Probleme beim LZO-Algorithmus außen vor. Außerdem habe nicht Bailey, sondern µTorrent-Erfinder Ludwig Strigeus das Problem entdeckt – vor mehr als einem Jahr. (fab)

Kommentare lesen (416 Beiträge)
https://heise.de/-2240442 Drucken
Mehr zum Thema:
Linux und Open Source Sicherheitslücken Alert!
Anzeige
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Browsercheck
  • Krypto-Kampagne
Anzeige
Alerts! alle Alert-Meldungen

Drupal (CKEditor)

Cisco-Produkte

Oracle Critical Patch Update

Update
Anzeige
Anzeige
  • Wie Endgeräteschutz die IT-Sicherheit verbessert
  • Geldanlage: von Mensch und Maschine profitieren
  • DSGVO: Was nach dem 25. Mai noch zu tun ist
  • Special: DSGVO Ratgeber
  • Interessante Jobangebote - IT-Jobtag in Leipzig!
  • 5 IT-Trends, die Sie auf dem Schirm haben sollten
  • Arbeitgeber Bewerbungen: Heise Karriere-Netzwerk
Artikel
Übersicht: Diese Webseiten bieten Zwei-Faktor-Authentifizierung

Übersicht: Diese Webseiten bieten Zwei-Faktor-Authentifizierung

Vor allem Online-Shops und soziale Netzwerke sollte neben dem Passwort noch einen zweiten Faktor zum Einloggen fordern. Eine Webseite zeigt übersichtlich an, welche Online-Services dieses Anmeldeverfahren bieten.

Lesetipp
Leben vom Verkauf geklauter Passwörter

Leben vom Verkauf geklauter Passwörter

Das Geschäft mit geleakten Login-Daten boomt: Betrüger machen damit innerhalb von wenigen Monaten mehrere 100.000 US-Dollar.

Lesetipp
Malware-Analyse - Do-It-Yourself

Malware-Analyse - Do-It-Yourself

Bauen Sie Ihre eigene Schadsoftware-Analyse-Sandbox, um schnell das Verhalten von unbekannten Dateien zu überprüfen. Dieser Artikel zeigt, wie das mit der kostenlosen Open-Source-Sandbox Cuckoo funktioniert.

Hintergrund
Neueste Forenbeiträge
  1. Re: Wenigstens leicht zu Identifizieren
    Für die schlecht umgesetzten Miner mag das gelten. Es gibt allerdings genügend Methoden sich zu verstecken.

    Forum:  Statt Erpressungstrojaner: Krypto-Miner auf dem Vormarsch

    FHSnoop hat keinen Avatar
    von FHSnoop; vor 17 Stunden
  2. Re: Google ist ja so toll!
    Googles 8.8.8.8 ist trotzdem noch standardmäßig eingestellt und da wahrscheinlich nur jeder millionste Benutzer jemals die DNS Einstellungen…

    Forum:  Android P verschlüsselt DNS-Anfragen

    Sylos hat keinen Avatar
    von Sylos; Samstag, 23:29
  3. Re: Das will ich wohl glauben!
    Hallo, ich hätte bei einer solchen App die Verwendung eines Obfuscators erwartet, der das einfache Auslesen von URLs (und vertraulichen Infos…

    Forum:  RSA Conference: Unsichere Konferenz-App leakt Teilnehmerliste

    O. v. W. hat keinen Avatar
    von O. v. W.; Samstag, 23:00
nach oben
News und Artikel
  • News
  • 7-Tage-News
  • News-Archiv
  • Hintergrund-Artikel
  • Alert-Meldungen
Service
  • Newsletter
  • Tools
  • Foren
  • RSS
  • mobil
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Browsercheck
  • Krypto-Kampagne
  • Datenschutzhinweis
  • Impressum
  • Kontakt
  • Mediadaten
  • 1257312
  • Content Management by InterRed
  • Copyright © 2018 Heise Medien