Sicherheit unter Linux
Je größer die Verbreitung von Linux wird, desto größer ist die Wahrscheinlichkeit, dass Sicherheitslücken unter Linux ausgenutzt werden. Insofern ist es wichtig, dass auch Linux-Software auf dem aktuellen Stand gehalten wird. Auf dieser Seite möchte ich konkrete Gegenmaßnahmen bei Problemen näher beleuchten.
Fehler in der C-Bibliothek (2016-02-16)
Am 16.02.2016 wurde ein großes Problem in der C-Bibliothek glibc von Linux bekannt, das sich über das Netzwerk ausnutzen läßt. Durch manipulierte Netzwerk-Pakete bei der Auflösung von Internetnamen (z.B. yahoo.de) kann Linux-Software zum Absturz gebracht und Schadsoftware unter Linux ausgeführt werden. Das Problem läuft unter der Nummer: CVE-2015-7547.
Android-Geräte sind von diesem Problem nicht betroffen, da sie die Bibliothek "bionic" statt der glibc benutzen.
Internet-Router sind meistens von diesem Problem nicht betroffen, da sie die Bibliothek "uclibc" statt der glibc benutzen (wie zum Beispiel die Fritzbox).
Linux Mint, Ubuntu und Raspbian sind von diesem Problem betroffen. Normalerweise werden Sicherheitsupdates unter Linux automatisch installiert. Wer diese Update-Funktion abgeschaltet hat, muss Sicherheitsupdates manuell einspielen. Für die libc geht das so:
sudo bash
apt-get update
apt-get install libc6
# check the version on Raspbian Jessie:
dpkg -l libc6
# should be 2.19-18+deb8u3 or higher
# check the version on Linux Mint 17 or Ubuntu 14.04:
dpkg -l libc6
# should be 2.19-0ubuntu6.7 or higher
# check the version on Ubuntu 12.04:
dpkg -l libc6
# should be 2.15-0ubuntu10.13 or higher
Leider reicht ein Update der libc unter Umständen nicht aus. Es könnte sein, dass einige Programme unter Linux statisch mit der C-Bibliothek gelinkt sind. Diese statischen Programme müßten ebenfalls aktualisiert werden. Ein Workaround ist es, die DNS-Pakete, die den Fehler in der libc auslösen können, anhand der Größe herauszufiltern. Die Firewall iptables kann diese Aufgabe über das Modul "length" (-m length) erfüllen:
sudo bash
# edit the start script of Linux
vi /etc/rc.local
# add the following two lines to limit the size of DNS reply packets
iptables -I INPUT -p udp --sport 53 -m length --length 541: -j DROP
iptables -I INPUT -p tcp --sport 53 -m length --length 1065: -j DROP