News Schwachstelle in C-Bibliothek: Looney Tunables gefährdet zahlreiche Linux-Systeme

Garmor · 5. Oktober 2023

Jetzt ist auch Fedora gefixed.

SSD960 · 5. Oktober 2023

Welche Software ist ohne lücken? Keine. Die Frage wie einfach lässt sich die Lücke ausnutzen?

Unnu · 5. Oktober 2023

Mickey Cohen schrieb:
aber ist das wirklich sooo schwer zu vermeiden?

Ja. Vor allem wenn das Ökosystem langsam vor sich hin gew...achsen ist. Früher waren Pufferüberläufe ärgerlich, allerdings jetzt nix, was alle alarmiert hat. Das kam dann erst, als jemand diese dann für Exploits genutzt hat.
Und C will halt, dass man seinen eigenen Scheiß im Griff hat. Schließlich macht man seine eigene Speicherverwaltung. Mit allem was dazu gehört.
So ein Speicherüberlauf ist da schnell mal übersehen.

Andererseits spricht es für die Bibliothek, dass so ein Bug überhaupt gefunden und dann auch sehr schnell gefixt wird. Obendrein wurde erst jetz mal wieder ein Bug gefunden. Auch das spricht für eine sehr stabile und ausgereifte Lib.

Erinnert mich so ein bischen an Log4j. Das steckte auch fast überall drin.

Ergänzung (5. Oktober 2023)

SSD960 schrieb:
Die Frage wie einfach lässt sich die Lücke ausnutzen?

Klingt als wäre sie stable, also zuverlässig. Das ist schlecht.

flaphoschi · 5. Oktober 2023

Termy schrieb:
Vermutlich

Oh ja - ich betreue nur ein paar AUR-Pakete und das reicht mir auch schon

Auch AUR.

Das aufwendigste bei Patches ist nicht der Code. Die passenden Übersetzungen sind es.

Piktogramm · 5. Oktober 2023

Mickey Cohen schrieb:
ich hab ein Elektro und informationstechnikstudium im ersten Semester abgebrochen und dementsprechend keine Ahnung, aber ist das wirklich sooo schwer zu vermeiden? 🙄

Fehlannahmen sind schnell gemacht.
Und aus eigener Erfahrung, jenachdem wo man das lernt bzw. bei wem wird man dafür überhaupt nicht sensibilisiert. Da fallen also ausreichend Leute, die mitunter nichtmal wissen, dass da grundlegend Wissen fehlt.

JustAnotherTux · 5. Oktober 2023

SSD960 schrieb:
Welche Software ist ohne lücken? Keine. Die Frage wie einfach lässt sich die Lücke ausnutzen?

Und wie einfach / schnell läst sie sich schließen

ReactivateMe347 · 6. Oktober 2023

Mir fehlt hier eine Info, was der Angreifer damit erreichen kann. Ist das ein lokaler Nutzer zu root Exploit?

coffee4free · 6. Oktober 2023

Artikel-Update: Wie aus einem Bericht von Bleeping Computer hervorgeht, haben andere Sicherheitsforscher inzwischen erste Exploits für Looney Tunables veröffentlicht. Einer davon stammt von dem Niederländer Peter Geissler, auch bekannt unter dem Namen blasty. Geissler hat seinen Exploit auf X geteilt – ein anderer Schwachstellen- und Exploit-Experte namens Will Dormann bestätigte dessen Funktionsfähigkeit daraufhin.

DarkSoul · 6. Oktober 2023

Wahrscheinlich wurde vergessen zu prüfen, wo die Libs liegen, die nachgeladen werden sollen und schwupps, sind es präparierte aus dem Internet, die untergejubelt werden können.

0x8100 · 6. Oktober 2023

ReactivateMe347 schrieb:
Ist das ein lokaler Nutzer zu root Exploit?

ja, ist lokal.

EmilEsel · 6. Oktober 2023

linux ist mir zu unsicher
microsoft kennt doch sine ganzen geheim hintertüren
da blieb ich also lieber bei windows

flaphoschi · 6. Oktober 2023

Mickey Cohen schrieb:
unseren täglichen pufferüberlauf Gib uns heute...

ich hab ein Elektro und informationstechnikstudium im ersten Semester abgebrochen und dementsprechend keine Ahnung, aber ist das wirklich sooo schwer zu vermeiden? 🙄

Ja.

Aber es wird laufend besser. Durch die Sanitizer in GCC/CLANG und Valgrind hat sich die Situation grundlegend verbessert.

Ergänzung (6. Oktober 2023)

LuckyMagnum schrieb:
Seit 2021
uff

Ziemlich kurz. Da gibt es in X11 noch mehr Altlasten und wohl in der ganzen WIN32-Implementierung.

Log4J war mit 2013-2021 auch nicht so alt. Aber fürchterlich, weil Javacode mit Log4J wirklich überall rumgammelt und externe Angreifer anzieht.

SheepShaver · 6. Oktober 2023

DarkSoul schrieb:
Wahrscheinlich wurde vergessen zu prüfen, wo die Libs liegen, die nachgeladen werden sollen und schwupps, sind es präparierte aus dem Internet, die untergejubelt werden können.

Nein, so funktioniert das nicht.

codengine · 6. Oktober 2023

Sollte sowas nicht ein billiger (Unit)-Test finden?

Redundanz · 6. Oktober 2023

gibt bald nen neuen trend...

"i use musl btw"

SSD960 · 6. Oktober 2023

EmilEsel schrieb:
linux ist mir zu unsicher
microsoft kennt doch sine ganzen geheim hintertüren
da blieb ich also lieber bei windows

Die Hoffnung stirbt zuletzt...

netzgestaltung · 7. Oktober 2023

opnsense, debian und fedora sind aktualisiert, morgen kommen die ubuntus und manjaros dran. ev kriegen die gleich nobara drauf.

dermatu · 7. Oktober 2023

Ist nicht gerade erst auch bei curl eine riesen Schwachstelle aufgedeckt worden ?

konkretor · 7. Oktober 2023

@dermatu

Jo bei curl kocht es auch, wie schlimm unklar

https://www.heise.de/news/cURL-Info...seit-Langem-kommen-am-11-Oktober-9326134.html

dh9 · 7. Oktober 2023

codengine schrieb:
Sollte sowas nicht ein billiger (Unit)-Test finden?

Wenn man explizit dafür einen programmier hat ja. Also nein.

News Schwachstelle in C-Bibliothek: Looney Tunables gefährdet zahlreiche Linux-Systeme

Lt. Commander

Captain

Captain

Lt. Commander

Admiral

Lt. Commander

Lt. Commander

Lt. Junior Grade

Commander

Admiral

Banned

Lt. Commander

Commodore

Lieutenant

Lt. Commander

Captain

Captain

Captain

Artikeldetektiv

Ensign

Passend zum Thema