News Schwachstelle in C-Bibliothek: Looney Tunables gefährdet zahlreiche Linux-Systeme

coffee4free · 4. Oktober 2023

Sicherheitsforscher haben eine Pufferüberlauf-Schwachstelle im dynamischen Lader der GNU-C-Bibliothek (glibc) entdeckt, die es Angreifern ermöglicht, sich auf Linux-Systemen Root-Rechte zu verschaffen. Sie gefährdet zahlreiche Distributionen, darunter auch verschiedene Versionen von Debian, Ubuntu und Fedora.

Zur News: Schwachstelle in C-Bibliothek: Looney Tunables gefährdet zahlreiche Linux-Systeme

Termy · 4. Oktober 2023

In Arch ist es auch schon gepatcht.

flaphoschi · 4. Oktober 2023

Ich deligiere das Problem an meine Paketverwaltung.

Termy schrieb:
In Arch ist es auch schon gepatcht.

Ich bin alt und langsam. Um Sekunden geschlagen?

Die Paketverwaltung macht die komplexe Aufgabe der Systemverwaltung einfach und kontrollierbar. Es ist keine Magie, dass ist einfach viel Fleissarbeit der Maintainer. Und diese Arbeit macht Linux so angenehm. Von daher mal Danke an die Leute, die da ständig amtlich und ehrenamtlich arbeiten! Ich kümmere mich nur um ein Paket mit Zusatzpatches. Und ich freu mich immer, aber es ist schlicht Arbeit.
Eine Sache dich ich lernen musste, es gibt keine Magie oder die sogenannte "Silver Bullet". Jemand (im Zweifel man selbst) muss die Arbeit machen.

LuckyMagnum · 4. Oktober 2023

Seit 2021
uff

cypeak · 4. Oktober 2023

Software kann nunmal Fehler enthalten - selbst tausendfach benutzte und getestete Bibliotheken/Apps können Lücken enthalten.
Entscheidend ist wie damit umgegangen wird und wie schnell das ganze gefixt und dann in freier Wildbahn gepatcht wird...und da ist Linux bei den Standardpaketen in aller Regel sehr gut unterwegs.

Ergänzung (4. Oktober 2023)

LuckyMagnum schrieb:
Seit 2021
uff

Da steht alles wesentliche dazu drin:

Da Qualys die Schwachstelle nach eigenen Angaben erst Anfang September gemeldet hat, dürfte Version 2.38 allerdings noch nicht gepatcht sein. Ein gestern veröffentlichtes Sicherheitsupdate für Debian deutet allerdings darauf hin, dass den Entwicklern der jeweiligen Distributionen bereits ein Patch zur Verfügung steht.

EdwinOdesseiron · 4. Oktober 2023

Lücke hin Lücke her, die Frage ist unter welchen Umständen sie sich wie ausnutzen lässt.

Termy · 4. Oktober 2023

flaphoschi schrieb:
Um Sekunden geschlagen?

Vermutlich

flaphoschi schrieb:
dass ist einfach viel Fleissarbeit der Maintainer.

Oh ja - ich betreue nur ein paar AUR-Pakete und das reicht mir auch schon

Tenferenzu · 4. Oktober 2023

Ich bin immer wieder erstaunt, dass Debian bei Sicherheitsupdates quasi alle anderen Distros schlägt. Respekt.

NoXPhasma · 4. Oktober 2023

EdwinOdesseiron schrieb:
Lücke hin Lücke her, die Frage ist unter welchen Umständen sie sich wie ausnutzen lässt.

In erster Linie braucht man lokalen Zugriff, das sollte auf Einzelplatzrechner also eher keine Gefahr darstellen.

Cool Master · 4. Oktober 2023

@Tenferenzu

Genau deswegen gibt es nicht die neusten Features in Debian, was mir 100 mal lieber ist

Tenferenzu · 4. Oktober 2023

Cool Master schrieb:
Genau deswegen gibt es nicht die neusten Features in Debian, was mir 100 mal lieber ist

Als Debiannutzer stimme ich dir 100%ig zu.

Bei mir war der Punkt erreicht wo ich gesagt habe, ich nehme jetzt Debian als ich bemerkt habe, dass die Software in den Debian Repos neuer ist als die Versionen die ich auf meiner W10 Installation hatte.. und das soll was heißen.. ^^

NameHere · 4. Oktober 2023

Weis jemand ob es Debian Trixie (testing) betrifft? Habe gerade die Pakete auf 2.37.12 zum Update angeboten bekommen.
Bin nicht sicher wie das verstehen soll auf dieser Seite
https://security-tracker.debian.org/tracker/source-package/glibc

Edit:
scheint gefixt zu sein mit 23.7.12 Version

https://security-tracker.debian.org/tracker/CVE-2023-4911

helionaut · 4. Oktober 2023

Hab mich schon gewundert wofür das libc-update war, das mir debian heute früh aufgetischt hat.
Das ging fix

cypeak · 4. Oktober 2023

Tenferenzu schrieb:
Ich bin immer wieder erstaunt, dass Debian bei Sicherheitsupdates quasi alle anderen Distros schlägt. Respekt.

Ich bin nicht sicher ob da so viel Unterschied zu den anderen Distros existiert - Arch hat gestern die 2.38-6 generiert bei der ausdrücklich CVE-2023-4911 gefixt ist...inzwischen als 2.38-7 repacked.

https://gitlab.archlinux.org/archlinux/packaging/packages/glibc/-/commits/main

Tralalah · 4. Oktober 2023

Mich wundert es, dass die Schwachstelle nur im Kontext von Linux erwähnt wird. Das ist schließlich eine grundlegende C-Bibliothek und ich denke, da dürften viele auf C basierende Programme betroffen sein. Oder ist es bei anderer Software außer OS von den Auswirkungen her nicht so tragisch?

Lora · 4. Oktober 2023

Der Patch kam schneller als ich überhaupt von der CVE gehört habe

Gut das es bei Linux schon sehr schnell geht mit dem fixen 👍

Gnarfoz · 4. Oktober 2023

Tralalah schrieb:
Mich wundert es, dass die Schwachstelle nur im Kontext von Linux erwähnt wird. Das ist schließlich eine grundlegende C-Bibliothek und ich denke, da dürften viele auf C basierende Programme betroffen sein. Oder ist es bei anderer Software außer OS von den Auswirkungen her nicht so tragisch?

Wird die GNU C library denn auf anderen Betriebssystemen zur Laufzeit dynamisch verwendet?

Piktogramm · 4. Oktober 2023

Tralalah schrieb:
Mich wundert es, dass die Schwachstelle nur im Kontext von Linux erwähnt wird. Das ist schließlich eine grundlegende C-Bibliothek und ich denke, da dürften viele auf C basierende Programme betroffen sein. Oder ist es bei anderer Software außer OS von den Auswirkungen her nicht so tragisch?

Linux dürfte der größte Brocken sein.
Abseits davon, BSDs meiden die GPL bzw LGPL Lizenz von glibc, Apple nutzt eigene Bibliotheken, Microsoft nutzt für Windows eigene Bibliotheken für x86. VisualStudio (nicht Code) nutzt jedoch für ARM Targets irgendein mingw oder cygwin Gebastel und GCC oder Clang (möge ein Entwickler aus der Windowswelt konkreter werden), da könnte tendentziell also auch glibc oder ne andere clib aus der *nix-Welt im Hintergrund genutzt werden.

Empeddedkram wie bei FreeRTOS nutzt oftmals keine dynamisch geladenen Bibliotheken.

Gnarfoz schrieb:
Wird die GNU C library denn auf anderen Betriebssystemen zur Laufzeit dynamisch verwendet?

Siehe 1. Teil vom Post.
Bei der irrsinnigen Anzahl irgendwelcher embedded Linuxe und Containern ist das ja wohl katastrophal genug?!

Dark Soul · 5. Oktober 2023

Piktogramm schrieb:
VisualStudio (nicht Code) nutzt jedoch für ARM Targets irgendein mingw oder cygwin Gebastel

Wenn man die ARM Hardware rumliegen hat, dann erstellt man ein Remove GDB Projekt in VS. Dann wird der Code mit Rsync über das Netzwerk auf die Zielplattform kopiert, mit dem dortigen Compiler kompiliert und dann mit GDB ausgeführt

Kann man auch gut in WSL machen um mit VS Linux Applikationen zu entwickeln.

Wenn man aber effektiv Cross-Kompiliert, dann ist es ganau so wie du es sagst - cygwin kommt zum Einsatz.

Mickey Cohen · 5. Oktober 2023

unseren täglichen pufferüberlauf Gib uns heute...

ich hab ein Elektro und informationstechnikstudium im ersten Semester abgebrochen und dementsprechend keine Ahnung, aber ist das wirklich sooo schwer zu vermeiden? 🙄

News Schwachstelle in C-Bibliothek: Looney Tunables gefährdet zahlreiche Linux-Systeme

Lt. Junior Grade

Commodore

Lt. Commander

Lt. Commander

Captain

Lt. Junior Grade

Commodore

Vice Admiral

Lieutenant

Fleet Admiral

Vice Admiral

Admiral

Commander

Captain

Cadet 3rd Year

Lieutenant

Lt. Junior Grade

Admiral

Lt. Junior Grade

Mickey Cohen

Gast

Passend zum Thema