Linux Mint hack und glibc-Lücke

Facebooktwittergoogle_plusredditpinterestlinkedinmail
Linux Mint setzt mehr auf Stabilität als auf Sicherheit, das wird häufig kritisiert.

Linux Mint setzt mehr auf Stabilität als auf Sicherheit, das wird häufig kritisiert.

In den Letzten Tagen war ja mal bei Linux Mint und bei den C Entwicklern ordentlich was los. Zum einen wurde der Server von Linux Mint gehackt, wodurch eine veränderte ISO zum Download bereit stand, und zum anderen gab es eine recht schwerwiegende Lücke in der C Bibliothek glibc.

Im Zuge des Hacks und der Sicherheitslücke in der glibc stellt sich dabei die Frage ob die Distribution Linux Mint, welche mittlerweile die beliebteste ist, wirklich die beste ist.

Linux Mint hack

Am 20.2. wurde der Server von Linux Mint, auf dem die ISO Dateien von Mint 17.3 liegen, gehackt und die ISOs durch mit einer Backdoor versehenen ersetzt. Der Fehler wurde jedoch schnell bemerkt und behoben, sodass schon am selben Tag die richtigen ISOs wieder online waren. Wer von mirror-Servern geladen hat ist eventuell(!) nicht betroffen, da die Spiegelung nicht in Echtzeit geschieht. Trotzdem sollte man überprüfen ob die ISO korrekt ist (s.u.).

Auch das Forum war betroffen, so sollen Nutzer des Linux Mint Forums schnellstmöglich das Passwort ändern, da der Angreifer eine Kopie der Datenbank erbeutet hat. Derzeit (Veröffentlichung des Posts) ist dieses nicht erreichbar, was mit dem Angriff zusammenhängt.

Das Mint-Team hat dabei schnell Blog-posts veröffentlicht und die Nutzer gewarnt und informiert, diese Transparenz sieht man nicht immer und sollte trotz aller Kritik gelobt werden.

ISOs auf Echtheit überprüfen

Wer am 20.2. eine ISO heruntergeladen hat und sich nicht sicher ist ob diese kompromittiert ist, sollte einen md5-Hash anfertigen und ihn mit den echten vergleichen. Dazu einfach ein Terminal öffnen und md5sum mint-iso-datei.iso eingeben, dann wird der md5-Hash berechnet (unter Windows ist es certUtil -hashfile mint-iso-datei.iso MD5).

Die korrekten Hashes sind:
6e7f7e03500747c6c3bfece2c9c8394f  linuxmint-17.3-cinnamon-32bit.iso
e71a2aad8b58605e906dbea444dc4983  linuxmint-17.3-cinnamon-64bit.iso
30fef1aa1134c5f3778c77c4417f7238  linuxmint-17.3-cinnamon-nocodecs-32bit.iso
3406350a87c201cdca0927b1bc7c2ccd  linuxmint-17.3-cinnamon-nocodecs-64bit.iso
df38af96e99726bb0a1ef3e5cd47563d  linuxmint-17.3-cinnamon-oem-64bit.iso

Diskussion um Linux Mint

Wer Unity oder Gnome 3 unter Ubuntu nicht leiden kann, der steigt gerne auf Linux Mint um. Mint wirkt dabei sehr aufgeräumt, ist schnell, stabil und auch für unerfahrene Linux-Nutzer durchaus bedienbar. Doch hagelt es seit dem Hack einige Kritik an der Qualität und Sicherheit von Mint.

Zum einen werden Namensräume von Paketen verletzt, sprich Paketnamen werden doppelt vergeben. So gibt es unter Mint den Desktopmanager mdm (mint desktop manager), unter debian (was der Unterbau von Ubuntu ist, was wiederum der Unterbau von Mint ist) gibt jedoch schon ein Paket mit diesem Namen, welches Tools für parallele shell-scripte bereit stellt. Dieses kann unter Mint, aufgrund des Namenskonfliktes, nicht verwendet werden.
Selbiges galt für den Editor xedit, der mittlerweile jedoch in xed umbenannt wurde.

Zum anderen setzt Linux Mint mehr auf Stabilität, als auf Sicherheit, was man u.A. in den Standardeinstellung der Aktualisierungsverwaltung mintUpdate erkennen kann (s. Bild oben). Dort werden Updates, die potentiell die Stabilität des Systems gefährden ausgeblendet. Dies schließt oftmals jedoch Sicherheitsupdates mit ein, teilweise werden also Sicherheitslücken nicht gepatched und bleiben bestehen.

Dies gilt zum Glück nicht für die glibc-Lücke, was mit der Genehmigung von Linux Mint zusammenhängt. Andere Sicherheitsupdates sollte man daher manuell über apt-get update && apt-get upgrade installieren.

glibc Lücke

In den vergangenen Tagen gab es auch Ärger mit einer Lücke in der C-Bibliothek glibc, welche diverse Funktionalitäten auch für TCP/IP bereit stellt. So fand ein Google Mitarbeiter durch Zufall eine Lücke in der Funktion getaddrinfo(), welche DNS Namen auflöst. Unter bestimmten Umständen bekam ein Client (z.B. ping, wgessh, …) einen segmentation fault (Speicherzugriffsfehler) bei der Verwendung der glibc Funktion getaddrinfo(). Dies kann schwerwiegende Folgen haben und dazu führen, dass eine Systemübernahme durch Hacker möglich ist.

Mit Version 2.23 wurde der Fehler offiziell behoben und mit ldd --version kann geprüft werden welche Version von glibc installiert ist. Wer dabei kein 2.23 angezeigt bekommt muss sich nicht wundern, denn gepatched wurden bereits viele Versionen von glibc unter diversen Distributionen. Dabei wurde nur diese und ein paar andere Lücken gestopft, sodass die Version der Bibliothek nicht auf 2.23 ist.

Hier eine Liste der sicheren Versionen von glibc (bitte Hinweise unten beachten!):

  • CentOS 6: glibc-2.12-1.166.el6_7.7
  • CentOS 7: glibc-2.17-106.el7_2.4
  • Fedora 22: glibc-2.21-11.fc22
  • Fedora 23: glibc-2.22-9.fc23
  • Debian 6 (squeeze): eglibc 2.11.3-4+deb6u11
  • Debian 7 (wheezy): eglibc 2.13-38+deb7u10
  • Debian 8 (jessie): glibc 2.19-18+deb8u3
  • Ubuntu 15.10: libc6 2.21-0ubuntu4.1
  • Ubuntu 14.04 LTS: libc6 2.19-0ubuntu6.7
  • Ubuntu 12.04 LTS: libc6 2.15-0ubuntu10.13

Wer die oben stehende Version nicht installiert hat oder ein anderes Linux am laufen hat, sollte ggf. das proof-of-concept von Google ausprobieren, um herauszufinden ob das System betroffen ist oder in Foren/Mailinglisten nach Informationen suchen. Derivate (z.B. Linux Mint) sind nicht extra aufgelistet, für Linux Mint 17.3 zum Beispiel ist die glibc Version von Ubuntu 14.04 LTS gleichbedeutend.

Updates sollten aber auf jeden Fall eingespielt werden!
Wenn nach dem Update, die Version nicht auf 2.23 ist, so muss man sich nicht wundern, denn das sind lediglich Patches. Es wurde nur diese und wenige andere Lücken gestopft, daher ist die Version der Bibliothek nicht auf 2.23.

Facebooktwittergoogle_plusredditpinterestlinkedinmail

2 Kommentare

  1. Fred

    Ich bin nur ein einfacher User und verstehe deshalb nicht warum die o.g. Distributionen eine sichere glibc haben sollen als Linux Mint (bei mir ist libc6 2.19-Oubuntu6.7 installiert).

    Keine der aufgeführten Distributionen hat eine, für mich erkennbare, glibc Version 2.23 oder höher.
    Doch nach der Aussage im Artikel ist die glibc erst ab Version 2.23 sicher.

    An nähesten liegt da, nach meinem Verständnis, Fedora 23.
    Aber eben immer noch unter 2.23.

    Es ist toll was die Entwickler um Linux und BSD alles leisten.

    Für gewöhnliche Nutzer wie mich sind das unerreichbare Welten weil wir nicht die Zeit und das Verständnis haben uns tiefer in die Materie einzuarbeiten.

    Wir benötigen ein einfach zu bedienendes System.

    Linux Mint ist so ein System.
    Es macht die Nutzung von Linux für uns sehr leicht.
    Linux Lite ist ähnlich einfach.

    Konflikte wie oben besprochen und das Durcheinander der Namen und Versionsnummern für die gleiche Softwware sind für uns sehr verwirrend.

    Uns bleibt da meist nur ein „Augen zu und durch“

    Nochmals vielen Dank für all die Arbeit.
    Viele Grüße
    Fred

    Antworten
    1. Hauke Stieler (Beitrag Autor)

      Hallo Fred,

      es handelt sich dabei nur um Patches, also Flicken für spezielle Bereiche. Es wurden hier nur die glibc-Lücke und ein paar weitere geschlossen, der Rest blieb unberührt, daher ist die Bibliothek auch noch nicht auf Version 2.23. Sehen kann man das schön am Changelog für Ubuntu14.04 (also LinuxMint 17): https://launchpad.net/ubuntu/+source/eglibc/2.19-0ubuntu6.7
      Wenn man nicht die Version einer Distribution nimmst, sondern den reinen glibc-Code, so ist es Version 2.23 in der die Lücke geschlossen wurde.

      Ich habe das auch noch mal in den Artikel geschrieben, da ich das tatsächlich nicht vermerkt habe. Tut mir Leid um die Verwirrung, aber ich hoffe nun ist es etwas klarer.

      Auch wenn es vielleicht im Artikel so klingt, soll es nicht heißen, dass man LinuxMint nicht mehr nutzen soll. Für Menschen, die sehr viel Wert auf aktuelle Software und hohe Sicherheitsstandards legen, ist Mint eventuell nicht das richtige. Für alle anderen – die eben ein stabiles, einfaches System wollen – ist Mint im Prinzip eine gute Wahl. Im Endeffekt ist es eine Frage der persönlichen Einstellung 😉

      Falls du weitere Fragen zu Linux (Mint) hast, kannst du mir auch gerne eine E-Mail schreiben, dann kann ich versuchen die Verwirrung zu lösen.

      Mit freundlichen Grüßen,
      Hauke

      Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.