Sicherheit unter Linux

Je größer die Verbreitung von Linux wird, desto größer ist die Wahrscheinlichkeit, dass Sicherheitslücken unter Linux ausgenutzt werden. Insofern ist es wichtig, dass auch Linux-Software auf dem aktuellen Stand gehalten wird. Auf dieser Seite möchte ich konkrete Gegenmaßnahmen bei Problemen näher beleuchten.

Fehler in der C-Bibliothek (2016-02-16)

Am 16.02.2016 wurde ein großes Problem in der C-Bibliothek glibc von Linux bekannt, das sich über das Netzwerk ausnutzen läßt. Durch manipulierte Netzwerk-Pakete bei der Auflösung von Internetnamen (z.B. yahoo.de) kann Linux-Software zum Absturz gebracht und Schadsoftware unter Linux ausgeführt werden. Das Problem läuft unter der Nummer: CVE-2015-7547.

Android-Geräte sind von diesem Problem nicht betroffen, da sie die Bibliothek "bionic" statt der glibc benutzen.
Internet-Router sind meistens von diesem Problem nicht betroffen, da sie die Bibliothek "uclibc" statt der glibc benutzen (wie zum Beispiel die Fritzbox).

Linux Mint, Ubuntu und Raspbian sind von diesem Problem betroffen. Normalerweise werden Sicherheitsupdates unter Linux automatisch installiert. Wer diese Update-Funktion abgeschaltet hat, muss Sicherheitsupdates manuell einspielen. Für die libc geht das so:

# update libc
sudo bash
apt-get update
apt-get install libc6

# check the version on Raspbian Jessie:
dpkg -l libc6
# should be 2.19-18+deb8u3 or higher

# check the version on Linux Mint 17 or Ubuntu 14.04:
dpkg -l libc6
# should be 2.19-0ubuntu6.7 or higher

# check the version on Ubuntu 12.04:
dpkg -l libc6
# should be 2.15-0ubuntu10.13 or higher

Leider reicht ein Update der libc unter Umständen nicht aus. Es könnte sein, dass einige Programme unter Linux statisch mit der C-Bibliothek gelinkt sind. Diese statischen Programme müßten ebenfalls aktualisiert werden. Ein Workaround ist es, die DNS-Pakete, die den Fehler in der libc auslösen können, anhand der Größe herauszufiltern. Die Firewall iptables kann diese Aufgabe über das Modul "length" (-m length) erfüllen:

# become root user
sudo bash

# edit the start script of Linux
vi /etc/rc.local

# add the following two lines to limit the size of DNS reply packets
iptables -I INPUT -p udp --sport 53 -m length --length 541: -j DROP
iptables -I INPUT -p tcp --sport 53 -m length --length 1065: -j DROP

	Sitemap Datenschutzerklärung Impressum Start Abitur 1999 ▼ Klassentreffen Kontaktdaten » Anleitung Javascript einschalten Bilder » Klassentreffen 2009 Jahrbuch 1999 Jahrbuch 1998 Klassenfahrt 1994 Klassentreffen 2 20 Jahre Wissen ▼ Nokia N810 Webseite » Suchmaschine Navigation Verschlüsselung Anonymität Lebenserfahrung Smarthome » Open-Milight Heizung Rollo Shades 3 433 MHz UEFI BIOS Administrator Linux ▼ Sicherheit Zeit setzen Radio » Playlist Jazzradio Whiteroom Musik Automatisierung » USB Bash Firefox Virtualisierung » Windows 7 Mac OS X Raspberry Pi » Mediacenter Kabelfernsehen Arduino USB Stromsparen Entwicklung » Wireshark UML Hardware Shazam Einzeiler CyanogenMod ▼ Installation Einstellungen Apps Fortgeschrittene Hacks » Button-Hack Touchscreen-Hack Positionsbestimmung Verschlüsselung ConnectBot Internet-Zugang LineageOS » Galaxy Tab S2 Pimp Your Desktop Fernsehstreaming Linux on Android Software-Update Dateiaustausch USB-Tethering Sicherheit Linkliste Javascript ▼ FreeCloudProxy Verschlüsselung Xor Sprechende Uhr MP3 Splitter Greasemonkey » Bahnlinien Bewertungen Heise-Skript Grafik » Grafikverschlüsselung Bildfilter Mikroskopsimulation Umwandlung » Code2HTML POST2HTML Smartphone Projekte ▼ Videoschnitt » Listen SmartHome » Fernbedienung Blog ▼ Musik Lebenskalender Wohnen » Weißensee Falkenberger Steuern Nicht noch mal Linkliste weiterführende Links: Linux \| Zeit setzen \| Radio \| Musik \| Automatisierung \| Virtualisierung \| Raspberry Pi \| Entwicklung \| Hardware \| Shazam \| Einzeiler Du bist hier:Start»Linux»Sicherheit Sicherheit unter Linux Je größer die Verbreitung von Linux wird, desto größer ist die Wahrscheinlichkeit, dass Sicherheitslücken unter Linux ausgenutzt werden. Insofern ist es wichtig, dass auch Linux-Software auf dem aktuellen Stand gehalten wird. Auf dieser Seite möchte ich konkrete Gegenmaßnahmen bei Problemen näher beleuchten. Fehler in der C-Bibliothek (2016-02-16) Am 16.02.2016 wurde ein großes Problem in der C-Bibliothek glibc von Linux bekannt, das sich über das Netzwerk ausnutzen läßt. Durch manipulierte Netzwerk-Pakete bei der Auflösung von Internetnamen (z.B. yahoo.de) kann Linux-Software zum Absturz gebracht und Schadsoftware unter Linux ausgeführt werden. Das Problem läuft unter der Nummer: CVE-2015-7547. Android-Geräte sind von diesem Problem nicht betroffen, da sie die Bibliothek "bionic" statt der glibc benutzen. Internet-Router sind meistens von diesem Problem nicht betroffen, da sie die Bibliothek "uclibc" statt der glibc benutzen (wie zum Beispiel die Fritzbox). Linux Mint, Ubuntu und Raspbian sind von diesem Problem betroffen. Normalerweise werden Sicherheitsupdates unter Linux automatisch installiert. Wer diese Update-Funktion abgeschaltet hat, muss Sicherheitsupdates manuell einspielen. Für die libc geht das so: # update libc sudo bash apt-get update apt-get install libc6 # check the version on Raspbian Jessie: dpkg -l libc6 # should be 2.19-18+deb8u3 or higher # check the version on Linux Mint 17 or Ubuntu 14.04: dpkg -l libc6 # should be 2.19-0ubuntu6.7 or higher # check the version on Ubuntu 12.04: dpkg -l libc6 # should be 2.15-0ubuntu10.13 or higher Leider reicht ein Update der libc unter Umständen nicht aus. Es könnte sein, dass einige Programme unter Linux statisch mit der C-Bibliothek gelinkt sind. Diese statischen Programme müßten ebenfalls aktualisiert werden. Ein Workaround ist es, die DNS-Pakete, die den Fehler in der libc auslösen können, anhand der Größe herauszufiltern. Die Firewall iptables kann diese Aufgabe über das Modul "length" (-m length) erfüllen: # become root user sudo bash # edit the start script of Linux vi /etc/rc.local # add the following two lines to limit the size of DNS reply packets iptables -I INPUT -p udp --sport 53 -m length --length 541: -j DROP iptables -I INPUT -p tcp --sport 53 -m length --length 1065: -j DROP Start Abitur 1999 Klassentreffen Kontaktdaten Anleitung Javascript einschalten Bilder Klassentreffen 2009 Jahrbuch 1999 Jahrbuch 1998 Klassenfahrt 1994 Klassentreffen 2 20 Jahre Wissen Nokia N810 Webseite Suchmaschine Navigation Verschlüsselung Anonymität Lebenserfahrung Smarthome Open-Milight Heizung Rollo Shades 3 433 MHz UEFI BIOS Administrator Linux Sicherheit Zeit setzen Radio Playlist Jazzradio Whiteroom Musik Automatisierung USB Bash Firefox Virtualisierung Windows 7 Mac OS X Raspberry Pi Mediacenter Kabelfernsehen Arduino USB Stromsparen Entwicklung Wireshark UML Hardware Shazam Einzeiler CyanogenMod Installation Einstellungen Apps Fortgeschrittene Hacks Button-Hack Touchscreen-Hack Positionsbestimmung Verschlüsselung ConnectBot Internet-Zugang LineageOS Galaxy Tab S2 Pimp Your Desktop Fernsehstreaming Linux on Android Software-Update Dateiaustausch USB-Tethering Sicherheit Linkliste Javascript FreeCloudProxy Verschlüsselung Xor Sprechende Uhr MP3 Splitter Greasemonkey Bahnlinien Bewertungen Heise-Skript Grafik Grafikverschlüsselung Bildfilter Mikroskopsimulation Umwandlung Code2HTML POST2HTML Smartphone Projekte Videoschnitt Listen SmartHome Fernbedienung Blog Musik Lebenskalender Wohnen Weißensee Falkenberger Steuern Nicht noch mal Linkliste Impressum Datenschutzerklärung