Sicherheitslücke in iconv identifiziert von TuxCare Team (CVE-2021-43396)

Iconv ist eine Bibliothek, die zur Konvertierung zwischen verschiedenen Zeichenkodierungen verwendet wird. Sie ist Teil einer Kerngruppe von Werkzeugen und Bibliotheken, die zur Durchführung von Aufgaben auf grundlegender Ebene verwendet werden und glibc (GNU C Library) genannt werden. Laut der ehrwürdigen glibc-Dokumentation ermöglicht sie die Umwandlung von Zeichen zwischen 150 verschiedenen Zeichensätzen.

Während der regelmäßigen Arbeit am Extended Lifecycle Support (ELS) Service von TuxCare, bei dem Patches für ältere Linux-Distributionen, die das End-of-Life-Datum überschritten haben, erstellt oder zurückportiert werden, identifizierte das Team eine bisher unbekannte Schwachstelle in einem Code-Pfad innerhalb von iconv. Aber natürlich ist das Auffinden des Fehlers nur die halbe Arbeit, also wurde auch ein Fix entwickelt und Upstream eingereicht.

Patches für Systeme, die von ELS abgedeckt werden, stehen bereits zur Verfügung.

Die eigentliche Schwachstelle tritt auf, wenn eine bestimmte Konvertierung ausgelöst wird; nämlich könnte eine Konvertierung von ISO-2022-JP-3 dazu führen, dass ein falsches NUL-Zeichen ausgegeben wird. Dies könnte trivialerweise durch die Übergabe einer Escape-Sequenz ausgelöst werden, die den aktiven Zeichensatz umschaltet. Je nach Anwendungsfall könnte ein zusätzliches NUL-Zeichen, das von einer aufrufenden Anwendung empfangen wird, zu Datenverfälschung oder inkonsistentem Verhalten führen.

Dieser Fehler wurde als Teil von Bugfix 27256 eingeführt, da diese Prüfung:

die durch diesen Bugfix hinzugefügt wurde, verhält sich so, als ob '�', das NUL-Zeichen, in der Warteschlange steht und gibt es in der Ausgabe aus.

Auf die Frage, ob er glaube, dass der Fehler derzeit ausnutzbar sei, sagte Nikita Popov, das Teammitglied hinter der Entdeckung: "Dieser Fall kann durch ein spezielles Nutzungsmuster der glibc verursacht werden. Dies ähnelt in gewisser Weise unserem vorherigen Fehler (und ist aufgrund ihrer Natur allen Bibliotheken eigen: eine gemeinsam genutzte Bibliothek ist genauso anfällig wie eine Host-Anwendung, die das Pech hat, einen unglücklichen Satz von Bibliotheksaufrufen in einer bestimmten Reihenfolge zu verwenden)."

Dies ist ein weiterer Beitrag von TuxCare zu Upstream-Projekten und eine weitere Schwachstelle, die von demselben Teammitglied identifiziert wurde, nachdem bereits vor einigen Wochen eine Schwachstelle in der glibc entdeckt wurde.

Im Einklang mit den bewährten Praktiken der Branche zur verantwortungsvollen Offenlegung von Schwachstellen wurden die vorgelagerten Entwickler benachrichtigt. Außerdem wurde ein Patch zur Behebung des zugrunde liegenden Problems an das entsprechende Projekt-Repository übermittelt. Aufgrund der sicherheitsrelevanten Auswirkungen eines Problems, das möglicherweise Probleme mit der Datenintegrität verursachen kann, wurde ein CVE-Eintrag beantragt und zugewiesen: CVE-2021-43396. Das Vorhandensein eines CVE-Eintrags sollte die Einbindung der korrigierten Version in weit verbreitete Linux-Distributionen beschleunigen.

Redhat hat bei der Bewertung der Auswirkungen auf RHEL 6 bis 8 bereits einen CVSS v3-Basiswert von 7,5 vergeben. NIST hat ebenfalls einen Wert von 7,5 vergeben, was bedeutet, dass die Schwachstelle ein hohes Risiko bzw. eine hohe Auswirkung hat. Bei der Priorisierung von Schwachstellen für Patching-Operationen sollten diese Informationen bei der Vorbereitung kommender Wartungsfenster berücksichtigt werden.

Die ständig wachsende Zahl der gefundenen Schwachstellen ist ein sichtbarer Aspekt der Tatsache, dass sich immer mehr Forscher und Entwickler mit dem Code befassen - mit Open-Source-Code. Mehr Schwachstellen bedeuten zwar in der Regel mehr Arbeit für die IT-Teams, aber der Vorteil ist, dass das Auffinden dieser Probleme, bevor sie tatsächlich ausgenutzt werden, das bestmögliche Ergebnis ist.

Das TuxCare-Team wird seine Arbeit fortsetzen und dafür sorgen, dass alte und neue Linux-Distributionen sicher bleiben, mit einem starken Engagement für Open Source und Upstream-Projekte.

Wenn Sie mehr über TuxCare, den Extended Lifecycle Support oder den Linux Support Service erfahren möchten, finden Sie hier Details.

[Update 11/11 - Im Interesse der Transparenz ist der Status des CVE umstritten. Während der Fehler anerkannt wurde und der Fix das Problem löst, wird der Angriffsvektor, der erforderlich ist, um dies auszunutzen, als anwendungsspezifisch erwähnt - die Anwendung, die iconv aufruft, müsste die Werte in einer bestimmten Reihenfolge übergeben - und nicht als iconv-spezifisch. Weitere Informationen hierzu finden Sie in der CVE-Beschreibung unter https://nvd.nist.gov/vuln/detail/CVE-2021-43396. Dies ist ein Beispiel dafür, wie der Überprüfungsprozess für die Einreichung von Fehlern im Open-Source-Ökosystem funktioniert. Dieser Beitrag wird mit weiteren Entwicklungen aktualisiert, falls/falls sie eintreten].