Sicherheitslücke in seti@home
Auch die Suche nach Außerirdischen kann offensichtlich den eigenen Rechner gefährden: In den Clients des Projekts seti@home wurde eine Sicherheitslücke durch einen möglichen Buffer Overflow gefunden.
Auch die Suche nach Außerirdischen kann offensichtlich den eigenen Rechner gefährden: In den Clients des Projekts seti@home [1] wurde eine Sicherheitslücke durch einen möglichen Buffer Overflow [2] gefunden. Dadurch lässt sich auf den lokalen Servern durch Angreifer beliebiger Code ausführen. Laut dem Entdecker der Lücke [3], Berend-Jan Wever, dürften alle Client-Versionen davon betroffen sein; allerdings muss der Angreifer dem Client per Spoofing einen anderen Server als den offiziellen seti@home-Server unterschieben. Zusätzlich lässt sich das Leck auch über einen Proxy-Server oder einen Router ausnutzen.
Außerdem soll es einen entsprechenden Buffer Overflow in der Server-Software geben, der für eine DoS-Attacke ausgenutzt werden kann. Zusätzlich bemängelt Wever bei allen Clients, dass sie Informationen zum Prozessor- und Betriebssystemtyp des lokalen Rechners im Klartext über das Netz verschicken.
Mittlerweile gibt es ein Update auf Version 3.08 [4] des seti@home-Clients für Windows und Mac OS, das zumindest die Sicherheitslücken durch die Buffer Overflows beheben soll. Die Kommandozeilen-Version für Linux und diverse Unix-Derivate ist auf der Download-Seite allerdings noch in der fehlerhaften Version 3.03 aufgeführt; zumindest für Linux [5] und Solaris [6] steht die Version 3.08 aber bereits auf dem FTP-Server [7] des seti@home-Projekts bereit.
Mit dem an der Universität von Kalifornien in Berkeley entwickelten und von der Planetary Society unterstützten Programm werden die elektromagnetischen Signale, die das Radio-Teleskop in Arecibo, Puerto Rico, auffängt, einer genauen mathematischen Analyse unterzogen, um mögliche Signale von außerirdischen Zivilisationen [8] aufzuspüren. Der erforderliche Rechenaufwand wird bewältigt, indem weltweit Internet-Nutzer ihre Rechner zur Verfügung stellen und die Rechenarbeit so in kleinen Paketen leisten. Im Juni 2002 hatte das Projekt auf diese Weise bereits eine Million Jahre CPU-Zeit verbraucht [9].
Wie Wever in seinem Advisory [10] zu der Sicherheitslücke erklärt, wurden die Projektbetreiber bereits im Dezember vergangenen Jahres und im Januar erneut über die Probleme mit der Software informiert. Im Januar bestätigten die seti@home-Entwickler die Sicherheitslücke; nach Schwierigkeiten mit den Bugfixes für Windows wurden die aktualisierten Versionen nunmehr freigegeben [11]. Zwar existiert für die Linux-Version des seti@home-Clients ein Exploit für die Sicherheitslücke, aber nach den Angaben der seti@home-Entwickler gab es bislang keine Angriffe, die versuchten, dieses Leck auszunutzen. (jk [12])
URL dieses Artikels:
https://www.heise.de/-77359
Links in diesem Artikel:
[1] http://setiathome.ssl.berkeley.edu/
[2] http://www.heise.de/ct/01/23/216/
[3] http://spoor12.edup.tudelft.nl/SkyLined%20v4.2/?Advisories/Seti@home
[4] http://setiathome.ssl.berkeley.edu/download.html
[5] ftp://alien.ssl.berkeley.edu/pub/setiathome-3.08.i686-pc-linux-gnu.tar
[6] ftp://alien.ssl.berkeley.edu/pub/setiathome-3.08.sparc-sun-solaris2.6.tar
[7] ftp://alien.ssl.berkeley.edu/pub/
[8] http://www.heise.de/tp/deutsch/special/raum/13650/1.html
[9] https://www.heise.de/news/1-Million-CPU-Jahre-fuer-die-Suche-nach-Ausserirdischen-63704.html
[10] http://spoor12.edup.tudelft.nl/SkyLined%20v4.2/?Advisories/Seti@home
[11] http://setiathome.ssl.berkeley.edu/download.html
[12] mailto:jk@heise.de
Copyright © 2003 Heise Medien