In der GNU C-Bibliothek (glibc) ist ein kritischer Fehler bekannt geworden, der es ermöglicht, unter bestimmten Umständen Schadcode ausführen zu lassen. Konkret existiert ein "Proof of Concept" für einen Angriff auf die Mailserver-Software "Exim", wenn diese eine bestimmte Konfiguration aufweist.
Auslöser ist ein Fehler in den gethostbyname*()-Funktionen, konkret wenn eine ungültige IP-Adresse zur Prüfung übergeben wird.
Wir empfehlen dringend, alle Server zu aktualisieren und die betroffenen Programme neu zu starten (es reicht nicht, nur die libc zu aktualisieren). Wer auf Nummer Sicher gehen möchte, rebootet einfach den Server (mit kexec geht das übrigens ohne die komplette Hardware neu zu starten).
Für Debian 7 wurde gestern Nachmittag bereits ein Update für das Paket "eglibc" bereitgestellt, Updates für andere Distributionen sollten inzwischen auch verfügbar sein oder in Kürze folgen.
Bei folgenden Diensten lässt sich laut Qualys der Fehler nicht ausnutzen: apache, cups, dovecot, gnupg, isc-dhcp, lighttpd, mariadb/mysql, nfs-utils, nginx, nodejs, openldap, openssh, postfix, proftpd, pure-ftpd, rsyslog, samba, sendmail, sysklogd, syslog-ng, tcp_wrappers, vsftpd, xinetd
LiveConfig verwendet die Funktion gethostbyname() übrigens nicht (ausschließlich getaddrinfo()).
Die vollständige Beschreibung zum Fehler gibt's unter http://seclists.org/oss-sec/2015/q1/274
Viele Grüße
-Klaus Keppler
