ComputerBase Menü
Aktuelles

News Gnome-Desktop gefährdet: Schwachstelle erlaubt Schadcodeausführung unter Linux

coffee4free

coffee4free

Lt. Junior Grade
Registriert
Okt. 2015
Beiträge
269
  • Gefällt mir
Reaktionen: dev/random, aid0nex, Randnotiz und 11 andere
Und ich hab' mich gestern schon gewundert, warum da so viele Updates gekommen sind auf Debian^^

Edit: Das war wohl anscheinend ein Frühschuss von mir. Die gepatchte Version wird zum aktuellen Zeitpunkt noch nicht zum Download angeboten. Siehe Kommentar #9.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: _casual_
Du hast gestern die 12.2 Updates gekriegt. Auf meiner Testing Installation waren es nur ein paar Pakete gestern.
 
  • Gefällt mir
Reaktionen: Tenferenzu und up.whatever
Tenferenzu schrieb:
Ich bin mir sicher, dass da mehr zusammengefasst wurde.
Zum Vergrößern anklicken....
Ähm nein, bei Debian werden keine Sicherheitsupdates zusammen gefasst. Alles ist schön modular und jedes Paket wird separat aktualisiert. Für die hier beschriebene Lücke wird nur das libcue Source Paket angefasst und daraus werden ausschließlich die deb Pakete "libcue-dev" und "libcue2" erzeugt: https://packages.debian.org/source/stable/libcue

@coffee4free: Für mich sieht es ehrlich gesagt danach aus, dass der Patch bisher nur in Ubuntu aber noch nicht in Debian bereitsteht.

Klar, es mag auch Updates für andere Pakete geben. Die stehen aber in keinerlei Zusammenhang zu dieser Meldung.
 
  • Gefällt mir
Reaktionen: dev/random
up.whatever schrieb:
Klar, es mag auch Updates für andere Pakete geben. Die stehen aber in keinerlei Zusammenhang zu dieser Meldung.
Zum Vergrößern anklicken....
Alles klar, danke für die Korrekur.
NameHere schrieb:
Du hast gestern die 12.2 Updates gekriegt.
Zum Vergrößern anklicken....
Das war der Gedankengang denn ich gestern hatte. Da hat mich die News hier wohl zu einem Fehlschluss geleitet.

Für alle die auch erstmal googlen mussten wie man alle Pakete listet und den Output sortiert..:
Code: 
apt list |grep libcue

WARNING: apt does not have a stable CLI interface. Use with caution in scripts.

libcue-dev/stable 2.2.1-4 amd64
libcue2/stable,now 2.2.1-4 amd64  [Installiert,automatisch]

Die -4.1 wäre die gepatchte Version unter Debain 12. Updates werden atuell noch keine angeboten.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: ErbarmeHesse und jimmy13
Das ist halt generell ein Problem von automatischem Indizieren/Previews erstellen. Wenn in diesen Modulen mal ne Lücke ist, dann braucht diese nur wenig Nutzerinteraktion...

Finde es allerdings hier etwas merkwürdig, dass die Lücke veröffentlicht wird, bevor die Distros zumindest ein paar Tage Zeit zum ausrollen hatten...
 
  • Gefällt mir
Reaktionen: polyphase
up.whatever schrieb:
Ähm nein, bei Debian werden keine Sicherheitsupdates zusammen gefasst. Alles ist schön modular und jedes Paket wird separat aktualisiert. Für die hier beschriebene Lücke wird nur das libcue Source Paket angefasst und daraus werden ausschließlich die deb Pakete "libcue-dev" und "libcue2" erzeugt: https://packages.debian.org/source/stable/libcue

@coffee4free: Für mich sieht es ehrlich gesagt danach aus, dass der Patch bisher nur in Ubuntu aber noch nicht in Debian bereitsteht.

Klar, es mag auch Updates für andere Pakete geben. Die stehen aber in keinerlei Zusammenhang zu dieser Meldung.
Zum Vergrößern anklicken....

Stimmt, da steht ja auch noch "vulnerable". 😄 Hab's in der Meldung korrigiert. Danke!
 
  • Gefällt mir
Reaktionen: Tenferenzu
Gnome nutze ich nicht :sex:
 
  • Gefällt mir
Reaktionen: Gabber und polyphase
Ich auch nicht mehr, seitdem es regelmäßig mein System zum Absturz gebracht hat und die Festplatte binnen Sekunden mit GB Logs vollschreibt.
Konsequenterweise hätte ich vermutlich das System neu aufsetzen sollen, aber ich bin mit KDE Plasma sehr glücklich und habe Angst, dass ich etwas falsch mache. (ist meine erste Linuxinstallation)
Ich kann jedenfalls Gnome nichts abgewinnen und mit KDE habe ich nun einen Desktop, bei dem ich im Gegensatz zu Gnome Windows keine Sekunde nachtrauere.
 
  • Gefällt mir
Reaktionen: polyphase
Termy schrieb:
Finde es allerdings hier etwas merkwürdig, dass die Lücke veröffentlicht wird, bevor die Distros zumindest ein paar Tage Zeit zum ausrollen hatten...
Zum Vergrößern anklicken....
Da die verschiedenen Distributionen alle unterschiedliche Prozesse pflegen oder teils gar keine geschlossenen Mailinglisten für Security haben, ist das keinem Maintainer irgend eines Softwareprojekts zuzumuten. Zudem, wenn die Distributionen mit security Channel anfangen die Patches auszurollen fangen die Bösen an die ausgespielten Pakete zu vergleichen und zu schauen was geändert wurde. Mit dem ersten ausgespieltem Paket ist damit das Rennen begonnen Exploits zu bauen. Das dauert oftmals keine 24h, bis dieser Prozess abgeschlossen ist.

Was jedoch etwas merkwürdig ist. Der Commit zum Fix des Bugs ist öffentlich, der Maintainer von libcue hielt es aber nicht für nötig selbst ein Security Release zu veröffentlichen. Das läuft da gerade so schlecht wie beim glibc Bug der letzten Tage. Es gibt keinen Versionssprung, es wird sich darauf verlassen, dass alle Distributionen sehr regelmäßig das Gitrepo ziehen und alle Änderungen aus "Master" sofort builds triggern. Was viele Distributionen aber nicht machen, weil das bei anderen Softwareprojekten wiederrum mehrere Builds am Tag triggern würde.
 
  • Gefällt mir
Reaktionen: BeBur, sedot und Termy
Das ist tatsächlich mal eine schwerwiegende Lücke wo sich eine News für lohnt wie ich finde und nicht eine der üblichen Rechteerweiterung wenn das System eh schon übernommen ist unter ganz bestimmten umständen.
Sollte man meiner Meinung nach dringend nach schauen und updaten sobald es geht wenn man Gnome verwendet.
 
  • Gefällt mir
Reaktionen: Okona und BeBur
das Video ist beängstigend 😲
 
Gibt aber keine privilege escalation oder? Ich meine mit Userrechten genug Unsinn machen, aber besser als mit root rechten.
Ich bin dann mal Updates installieren.
 
Die CVE steht schonmal auf 'Fixed' bei sid. Ich bin mal gespannt wie lange es nun dauert bis das Upate bei den anderen Versionen ankommt.
1696953383109.png
 
SYSTEMD Frei :)

Code: 
*  media-libs/libcue
      Latest version available: 2.2.1-r1
      Latest version installed: [ Not Installed ]
      Size of files: 24 KiB
      Homepage:      https://github.com/lipnitsk/libcue
      Description:   CUE Sheet Parser Library
      License:       GPL-2


Arones schrieb:
schauen und updaten sobald es geht wenn man Gnome verwendet.
Zum Vergrößern anklicken....

NEIN

Es ist eine Library. Hat man Software, die diese benötigt, hat man Pech.
Das hat mit dem GNOME Desktop genau gar nichts zu tun.
 
_roman_ schrieb:
Hat man Software, die diese benötigt, hat man Pech.
Das hat mit dem GNOME Desktop genau gar nichts zu tun.
Zum Vergrößern anklicken....
Dass der standard Indexer des Gnome Desktops diese Library standardmäßig verwendet hat gar nichts mit dem Gnome Desktop zu tun?
 
  • Gefällt mir
Reaktionen: tollertyp und Miuwa
Du musst dich einloggen oder registrieren, um hier zu antworten.

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz