ReDoS-Schwachstelle im grep-Tool: DoS-Risiko durch ungeschützte Regex-Patterns

Eine neue Sicherheitslücke im grep-Tool wurde als GitHub-Issue dokumentiert. Die Schwachstelle betrifft die Verwendung regulärer Ausdrücke ohne Schutzmechanismen gegen katastrophales Backtracking – ein Angriffsvektor, der als ReDoS (Regular Expression Denial of Service) bekannt ist. Angreifer könnten speziell gestaltete Regex-Patterns einsetzen, um den Server gezielt in einen unresponsive Zustand zu versetzen und damit die Verfügbarkeit des Dienstes zu unterbrechen.

Die Lücke entsteht durch das Fehlen grundlegender Sicherheitsvorkehrungen bei der Regex-Verarbeitung. Im konkreten Fall verzichtet das Tool auf ein Regex-Timeout, das bei der Ausführung von komplexen oder bösartig konstruierten Patterns greifen und diese nach einem definierten Zeitlimit abbrechen würde. Ohne diesen Schutz kann ein einziger crafted Input ausreichen, um die CPU-Ressourcen vollständig auszulasten und den Server lahmzulegen. Betroffen ist jeder Einsatzkontext, in dem das grep-Tool Nutzereingaben oder externe Datenquellen mit regulären Ausdrücken verarbeitet.

Die Empfehlungen der Issue-Autoren umfassen drei Maßnahmen: die Implementierung eines Regex-Timeouts als primäre Schutzebene, die Umstellung auf ReDoS-safe Pattern-Konstruktionen, die keine exponentiellen Backtracking-Pfade erzeugen, sowie die Begrenzung der Input-Länge. Die Schwachstelle reiht sich in eine bekannte Kategorie von Sicherheitsproblemen ein, die in diversen Tools und Bibliotheken wiederholt aufgetreten ist. Entwickler, die das betroffene grep-Tool in ihren Systemen einsetzen, sollten umgehend die Angriffsfläche evaluieren und die empfohlenen Gegenmaßnahmen prüfen.