Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsSchwachstelle in C-Bibliothek: Looney Tunables gefährdet zahlreiche Linux-Systeme
Sicherheitsforscher haben eine Pufferüberlauf-Schwachstelle im dynamischen Lader der GNU-C-Bibliothek (glibc) entdeckt, die es Angreifern ermöglicht, sich auf Linux-Systemen Root-Rechte zu verschaffen. Sie gefährdet zahlreiche Distributionen, darunter auch verschiedene Versionen von Debian, Ubuntu und Fedora.
Die Paketverwaltung macht die komplexe Aufgabe der Systemverwaltung einfach und kontrollierbar. Es ist keine Magie, dass ist einfach viel Fleissarbeit der Maintainer. Und diese Arbeit macht Linux so angenehm. Von daher mal Danke an die Leute, die da ständig amtlich und ehrenamtlich arbeiten! Ich kümmere mich nur um ein Paket mit Zusatzpatches. Und ich freu mich immer, aber es ist schlicht Arbeit.
Eine Sache dich ich lernen musste, es gibt keine Magie oder die sogenannte "Silver Bullet". Jemand (im Zweifel man selbst) muss die Arbeit machen.
Software kann nunmal Fehler enthalten - selbst tausendfach benutzte und getestete Bibliotheken/Apps können Lücken enthalten.
Entscheidend ist wie damit umgegangen wird und wie schnell das ganze gefixt und dann in freier Wildbahn gepatcht wird...und da ist Linux bei den Standardpaketen in aller Regel sehr gut unterwegs.
Da Qualys die Schwachstelle nach eigenen Angaben erst Anfang September gemeldet hat, dürfte Version 2.38 allerdings noch nicht gepatcht sein. Ein gestern veröffentlichtes Sicherheitsupdate für Debian deutet allerdings darauf hin, dass den Entwicklern der jeweiligen Distributionen bereits ein Patch zur Verfügung steht.
Bei mir war der Punkt erreicht wo ich gesagt habe, ich nehme jetzt Debian als ich bemerkt habe, dass die Software in den Debian Repos neuer ist als die Versionen die ich auf meiner W10 Installation hatte.. und das soll was heißen.. ^^
Ich bin nicht sicher ob da so viel Unterschied zu den anderen Distros existiert - Arch hat gestern die 2.38-6 generiert bei der ausdrücklich CVE-2023-4911 gefixt ist...inzwischen als 2.38-7 repacked.
Mich wundert es, dass die Schwachstelle nur im Kontext von Linux erwähnt wird. Das ist schließlich eine grundlegende C-Bibliothek und ich denke, da dürften viele auf C basierende Programme betroffen sein. Oder ist es bei anderer Software außer OS von den Auswirkungen her nicht so tragisch?
Mich wundert es, dass die Schwachstelle nur im Kontext von Linux erwähnt wird. Das ist schließlich eine grundlegende C-Bibliothek und ich denke, da dürften viele auf C basierende Programme betroffen sein. Oder ist es bei anderer Software außer OS von den Auswirkungen her nicht so tragisch?
Mich wundert es, dass die Schwachstelle nur im Kontext von Linux erwähnt wird. Das ist schließlich eine grundlegende C-Bibliothek und ich denke, da dürften viele auf C basierende Programme betroffen sein. Oder ist es bei anderer Software außer OS von den Auswirkungen her nicht so tragisch?
Linux dürfte der größte Brocken sein.
Abseits davon, BSDs meiden die GPL bzw LGPL Lizenz von glibc, Apple nutzt eigene Bibliotheken, Microsoft nutzt für Windows eigene Bibliotheken für x86. VisualStudio (nicht Code) nutzt jedoch für ARM Targets irgendein mingw oder cygwin Gebastel und GCC oder Clang (möge ein Entwickler aus der Windowswelt konkreter werden), da könnte tendentziell also auch glibc oder ne andere clib aus der *nix-Welt im Hintergrund genutzt werden.
Empeddedkram wie bei FreeRTOS nutzt oftmals keine dynamisch geladenen Bibliotheken.
Gnarfoz schrieb:
Wird die GNU C library denn auf anderen Betriebssystemen zur Laufzeit dynamisch verwendet?
Wenn man die ARM Hardware rumliegen hat, dann erstellt man ein Remove GDB Projekt in VS. Dann wird der Code mit Rsync über das Netzwerk auf die Zielplattform kopiert, mit dem dortigen Compiler kompiliert und dann mit GDB ausgeführt Kann man auch gut in WSL machen um mit VS Linux Applikationen zu entwickeln.
Wenn man aber effektiv Cross-Kompiliert, dann ist es ganau so wie du es sagst - cygwin kommt zum Einsatz.
ich hab ein Elektro und informationstechnikstudium im ersten Semester abgebrochen und dementsprechend keine Ahnung, aber ist das wirklich sooo schwer zu vermeiden? 🙄