Word Linux of the yellow square pixels on a black matrix background. 3D illustration image

 

Linux-Freunde aufgepasst! In den Tiefen Ihres Rechners offenbart sich eine dramatische Sicherheitslücke. Die zentrale Bibliothek namens – Achtung Zungenbrecher – „glibc“ öffnet Angreifern aktuell Tür und Tor. Mittels speziell präparierter DNS-Pakete kann Ihr Linux-System nun im Handumdrehen kompromittiert werden.

Betrachten wir zunächst die technischen Hintergründe der Linux-Sicherheitslücke. Denn ihr „Bezeichner“ CVE-2015-7547 hat es wirklich in sich. Das Tückische: Angreifer können Linux-Systeme direkt übers Netz knacken. Möglich wird dies durch eine fehlende Prüfung von Eingabewerten in der Funktion getaddrinfo(). Deren Aufgabe ist es, die DNS-Anfragen von Server-Diensten auf einem System zu verarbeiten. Dank eines Fehlers in der weit verbreiteten Systembibliothek glibc genügen zwei speziell präparierte DNS-Pakete, um Server, Desktops oder andere Geräte zu übernehmen.

Geheimniskrämerei mit Folgen
Die Sicherheitslücke ist nicht neu; sie existiert genau genommen bereits seit 2008, wurde aber erst Mitte letzten Jahres identifiziert und (!!!) nicht als kritisch veröffentlicht; dies geschah erst am 16. Februar 2016. Seit Sommer letzten Jahres tüfteln die glibc-Entwickler eifrig an einer Problemlösung: Erste Updates stehen nun bereit.

Doch keine Panik, Sie als SEPPmail-Nutzer (oder zukünftiger SEPPmail-Nutzer) können aufatmen: Unsere Appliance ist von dieser und anderen glibc-Lücken nicht betroffen. Das liegt daran, dass wir das sichere Betriebssystem OpenBSD aus der Berkeley Software Distribution-Familie als Grundlage verwenden. Zwar besitzt auch jedes BSD eine libc-Kernbibliothek mit der standardisierten Funktion getaddrinfo(), allerdings wurde es unabhängig von der Linux-Variante erstellt und gepflegt. Ein Fehlverhalten dieser Funktion auf OpenBSD ist nicht bekannt.

Mit Sicherheit immer up to date
Wir bei SEPPmail legen besonderen Wert auf zeitnahe Updates von Software-Komponenten und Sicherheitsanpassungen. Auch unsere grundlegende OpenBSD-Version mit der äquivalenten libc wird alle sechs Monate erneuert. Das hohe Sicherheitsbewusstsein von OpenBSD spiegelt sich auch in den bekannten Ablegern OpenSSH und LibreSSL wider.

Sie merken bereits, wir bei SEPPmail sichern nicht nur Ihre E-Mail-Kommunikation durch Verschlüsselung, digitale Signatur und vertrauenswürdige Zertifikate ab; wir bilden auch für unsere Appliances eine 100 % sichere technologische Basis, die aktuellen Sicherheitslücken trotzen kann.

Share →