20 Jahre alte Kompressionsverfahren-Lücke sorgt für Verwirrung 

28. Juni 2014, 16:54
28 Postings

Sicherheitsforscher deckte Schwachstelle auf, von der hauptsächlich Linux-User betroffen sein sollen - Entwarnung von Autoren 

Ernstzunehmende Gefahr für Linux-User oder nicht? Derzeit herrscht Verwirrung um eine zwanzig Jahre alte Schwachstelle welche laut eigenen Angaben von Don A. Bailey der Sicherheitsfirma Lab Mouse Security aufgedeckt wurde. Dabei geht es um es einen Ganzzahlüberlauf im Entwurf des Kompressionsverfahren LZO. Der Algorithmus wurde bereits 1994 veröffentlicht und seitdem etliche Male kopiert. Heute kommt dieser sowie die neuere LZ4-Variante hauptsächlich bei proprietärer und Open-Source-Software zum Einsatz.

Absturz und Ausführung von Schadcodes

Laut Bailey sind unter anderem der Linux-Kernel, der Bootloader GRUB2, Busybox, FFmpeg, MPlayer2, Libav, OpenVPN und Junos OS von der Schwachstelle betroffen, da die Implementierungen auf den Originalentwurf zurückgehen. Durch die Lücke kann der Angreifer laut Bailey nun einen Absturz und Denial-of-Service auslösen, bei anderen Applikationen sogar Schadcodes. Die unterschiedlichen Schadensaumaße treten durch die verschiedenen LZO-Versionen auf.

An Lösung des Problems soll gearbeitet werden

Bailey gab in seinem Blog-Eintrag weiters an, dass er die Entwickler der betroffenen Programme informiert hätte und dass die Lücke zumindest in Version 3.15.2 des Linux-Kernels und bei FFmpeg in Version 2.2.4 gestopft wurde. Der Original-LZO-Quellcode wäre ihm nach seit Version 2.07 sicher, an weiterer Stelle wird bereits an einer Lösung des Problems gearbeitet.

Besondere Warnung

Besondere Warnung spricht Bailey für FFmpeg- und Libav-Bibliotheken aus, diese sollten auf Linux-Systemen bis auf weiteres nicht mehr verwendet werden, bis eine neue Version ohne der Lücke zur Verfügung steht. Ferner sollte MPlayer2-Paket ebenso deaktiviert werden, welches als Media Player bei Firefox, Chrome und anderen Browsern verwendet wird.

Autoren geben Entwarnung

Entwarnung gab es jedoch am gestrigen Abend von Yann Collet, Autor der Referenz-Implementation von LZ4. In einem Blog-Eintrag gab Collet an, dass bei LZ4 nur 32-Bit-Systeme anfällig für den Fehler sein würden und die Lücke bei keiner der bekannten Software seines Algorithmus ausnutzbar sei. Auch LZO-Entwickler Oberhumer bezeichnete die Gefahr eines Ganzzahlüberlaufs eher als theoretisch, da ein 16-Megabyte großer manipulierter Datenblock nötig wäre, sämtliche Implementationen und von Bailey genannten Applikationen maximal Blockgrößen von acht Megabyte zulassen, manche sogar weniger. (red, derStandard.at, 28.06.2014)

Share if you care.