CVE-2015-7547 Pufferüberlauf in glibc

Fastly Security Research Team

Fastly Security Research Team, Fastly

Das Fastly Security Technical Account Management Team

Fastly

16. Februar 2016

Security

Zusammenfassung

Am Dienstag, den 16. Februar, veröffentlichten Forscher Details über eine neue Schwachstelle in der glibc-Bibliothek, einer Standard-C-Bibliothek. Die Schwachstelle befand sich in dem Code, der zur Übersetzung von Hostnamen in IP-Adressen verwendet wurde. Prozesse, die diesen Code verwenden, sind bei Netzwerkdienstleistern, wie beispielsweise CDNs, sehr verbreitet.

Fastly hat auf den betroffenen Systemen sofort ein Sicherheitsupdate implementiert. Ein Eingreifen des Kunden ist nicht erforderlich. Der Service von Fastly wurde nicht beeinträchtigt.

Auswirkungen

Die Bereitstellung der Updates hatte keine Auswirkungen auf die Kunden.

Fix/Behelfslösung

Am Dienstag, den 16. Februar, hat Fastly die vom Hersteller bereitgestellten Sicherheitsupdates auf die betroffenen Produktionssysteme aufgespielt, um die Ursache für die Schwachstelle zu beheben. Ein Eingreifen des Kunden ist nicht erforderlich.

Einzelheiten

Ein stapelbasierter Pufferüberlauf wurde im glibc-DNS–Auflöser beim Kunden identifiziert, einer Komponente der glibc, die es Clients ermöglicht, Hostnamen in IP-Adressen aufzulösen. Um die Software-Schwachstelle erfolgreich ausnutzen zu können, müsste ein Angreifer in der Lage sein, einen DNS-Lookup für einen von ihm kontrollierten Hostnamen aufzurufen.

Bei Fastly führen viele unserer Systeme DNS-Lookups aus verschiedenen Gründen aus, z. B. zur Auflösung der Hostnamen der Origin-Server unserer Kunden. Fastly kümmerte sich zuerst sofort um die Systeme, die Kundendaten verarbeiten, bewertete diejenigen mit betroffenen Versionen der glibc und implementierte dann den vollständigen Patch für glibc, sobald er vom Hersteller bereitgestellt wurde.

Fastlys Systeme werden mit aktiviertem ASLR und anderen Laufzeit-Speicherfehlerkorrekturen gebaut. ASLR ist eine Adressraum-Randomisierungstechnik, die ein erfolgreiches Ausnutzen dieser Schwachstelle erschweren würde. Wir haben die Systeme sorgfältig auf Abstürze überwacht, die mit dieser Schwachstelle in Zusammenhang zu stehen schienen, und keine Hinweise auf Ausnutzungsversuche gefunden.

Weitere Informationen

Mehr über die glibc-Schwachstelle erfahren Sie in diesem Blog-Beitrag, der zu diesem Problem veröffentlicht wurde. Ausführliche Informationen finden Sie in diesem Thread in der Verteilerliste der GNU C-Bibliothek.