News Schwachstelle in C-Bibliothek: Looney Tunables gefährdet zahlreiche Linux-Systeme

[Zornica]

Ich scheine da wohl etwas misszuverstehen
Einerseits klang es nun so, als wäre sie 2021 entdeckt worden, aber erst jetzt wurde reagiert, andererseits klingt es als würde die Lücke seit 2021 existieren, aber sie wurde erst jetzt entdeckt.
was stimmt nun?

 

[0x8100]

die lücke kam mit glibc 2.34 vor zwei jahren rein, wurde aber erst jetzt entdeckt. der cve-2023-4911 ist ja, wie der name schon sagt, von 2023.

 

[Spiczek]

Ich bin noch Linuxneuling. Wie kann ich feststellen, ob mein Mint den Patch schon hatte? Ich hab im Aktualisierungsverlauf in der Aktualisierungsverwaltung 'libc' Einträge am 5.10. gefunden und einer hat 2.35 stehen. Also noch nicht gepatcht? Kann man dort irgendwie nach Einträgen suchen?

Grüße

 

[TomH22]

Lücke hin Lücke her, die Frage ist unter welchen Umständen sie sich wie ausnutzen lässt.

Heise schreibt dazu ein bisschen mehr als Computerbase

https://www.heise.de/news/Jetzt-pat...bc-Luecke-oeffentlich-verfuegbar-9326518.html

Für das Ausnutzen der Lücke muss man Code lokal ausführen. Das gelingt einem Angreifer aus er Ferne zwar nicht direkt, aber im Zusammenspiel mit anderen Lücken, die z.B. eine Code Injektion aus der Ferner erlauben, kann man einen zweistufigen Angriff ausführen.
Einer der kursierenden Exploits ist in Python geschrieben.
Schafft man es diesen Code in ein System einzuschleusen, dann hat man schnell Root Rechte erlangt. Und Python Interpreter gibt es z.B. auch auf einem Synology NAS im Standard.

Außerdem können auch legitime User (z.B. Kunden von Web Hosting Pakete mit Shell Zugang) diese Lücke ausnutzen um ein System zu übernehmen. Da die glibc auf der Mehrzahl der Linux Systeme vorhanden ist, ist das schon ein richtig kritisches Problem.

Entscheidend ist wie damit umgegangen wird und wie schnell das ganze gefixt und dann in freier Wildbahn gepatcht wird...und da ist Linux bei den Standardpaketen in aller Regel sehr gut unterwegs.

Das Problem dürften eben eher die vielen Embedded Linux Systeme sein, z.B. NAS Systeme, Router, Home Automation, usw.

Aber auch Container Images für Dinge wie NextCloud, o.ä. In der Regel nutzt man ja solche IMagesweil man sich nicht mit den Details beschäftigen will oder kann.

Vermutlich wird es Jahre dauern bis die anfälligen glibc Versionen überall verschwunden sind.

 

[0x8100]

Wie kann ich feststellen, ob mein Mint den Patch schon hatte?

$ apt-cache policy libc-bin
libc-bin:
  Installed: 2.35-0ubuntu3.4
  Candidate: 2.35-0ubuntu3.4

https://launchpad.net/ubuntu/+source/glibc/2.35-0ubuntu3.4

  * SECURITY UPDATE: privilege escalation in ld.so
    - debian/patches/any/CVE-2023-4911.patch: terminate immediately if end
      of input is reached in elf/dl-tunables.c.
    - CVE-2023-4911

edit: apt-get changelog libc-bin zeigt das changelog auch direkt an.

 

[TomH22]

die lücke kam mit glibc 2.34 vor zwei jahren rein, wurde aber erst jetzt entdeckt. der cve-2023-4911 ist ja, wie der name schon sagt, von 2023.

Anderseits gibt es Laut Heise auch einen Patch für 2.28 unter RHEL 8:

• 2.28-225.el8_8.6 für RHEL 8 respektive

Habe jetzt gerade mal mein Synology NAS mit DSM 7.1.1 gecheckt, das hat Version 2.26

 

[0x8100]

Anderseits gibt es Laut Heise auch einen Patch für 2.28 unter RHEL 8:

anscheinend hat redhat die fehlerhafte funktion aus der 2.34 in die 2.28 zurückportiert und damit die lücke in die eigentliche sichere 2.28 eingebaut. daher mussten sie jetzt auch 2.28 patchen.

 

[TomH22]

@x8100:
Bei Debian Bullseye scheinbar ähnlich. Die dort eingesetzte 2.31 ist auch anfällig:
https://security-tracker.debian.org/tracker/CVE-2023-4911

Insofern kann man sich nicht auf die Versionsnummer verlassen.

 

[0x8100]

Insofern kann man sich nicht auf die Versionsnummer verlassen.

ja, das ist fluch und segen, wenn die distris selber pakete pflegen und backports erstellen. ist in diesem fall nach hinten losgegangen

 

[KitKat::new()]

Ja.

Aber es wird laufend besser. Durch die Sanitizer in GCC/CLANG und Valgrind hat sich die Situation grundlegend verbessert

Rust nicht vergessen, soll ja für Linux langsam kommen

 

[Lora]

Wurde Rust nicht schon in den Kernel eingepflegt? °°

 

[0x8100]

@Lora rust im kernel ist möglich. allerdings hat jetzt keiner angefangen, alles in rust neu zu schreiben. zudem betrifft die lücke hier ja nicht den kernel.

 

[sedot]

@Lora
Ja, zum Teil.
https://en.wikipedia.org/wiki/Rust_for_Linux

 

[flaphoschi]

Rust nicht vergessen, soll ja für Linux langsam kommen

War mit Fokus auf C und C++. Ich hoffe das Rust sich bewährt und C und C++ ergänzt. Es hat die Schwächen von Java und C# nicht und definiert viel Verhalten (bei Hardwareprogrammierung geht das freilich nicht).

Gibt auch die Überlegung bei C++ eine Sprung zu machen auf „Cpp2“ und viel undefiniertes Verhalten zu eliminieren.
https://github.com/hsutter/cppfront

Bei C erwarte ich das nicht, da ist der Fokus anders gesetzt. Das soll schlanken Syntax haben, alles mit Hardware ermöglichen und auch Binärkompatibel sein.

PS: Undefiniertes Verhalten zu definieren waren Anfang der 70/80ern schwerer? Die Compiler dafür müssen das erstmal können, dazu braucht man die Hardware und diese war ja unterschiedlicher als heute (was C erstmal beherrschbar gemacht hat). So etwas wie eine MMU gab es nicht. Und wie groß ein Byte ist was nicht ausdiskutiert. In C++ hat man das schon anderes gehandhabt, starke Typisierung, RAII, Smartppointer und die Tendenz den Compiler es machen zu lassen. Teilweise auch viele Sachen bei denen Statements die früher undefiniert waren jetzt definiert sind.

Bei Java fallen wir erstaunlich oft über (fehlende) Ressourcenverwaltung. Als ob die Programmierer sich damit nicht beschäftigt hätten. Das ist etwas das C Programmierer verinnerlicht haben. Ich bin allerdings froh mit JavaScript nicht viel machen zu müssen, bei NPM und der „was geht mich das an“ Einstellung gruselt es mir. Im allgemeinen habe ich Angst vor der Mentalität jegliche Abhängigkeiten ohne Bedacht einzusetzen. Das ist hochgefährlich und die wenigsten kümmern sich. Log4J war diesbezüglich nur ein kleiner Eisberg?

 

[Lora]

Lade mir gerade die BD ISO von Debian 12.2.0, kam gestern raus und beinhaltet die gefixte Version.
Gleich mal meinen Stick aktualisieren 🙂 Werde wohl immer bei Debian bleiben, so long, so stable.

linux ist mir zu unsicher
microsoft kennt doch sine ganzen geheim hintertüren
da blieb ich also lieber bei windows

Na dann ^^
Wenn es nur Backdoors wären:

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

Das Video sollten sich hier mal so einige Windows User anschauen, schade das es hier so runter gespielt wurde. Ich bin froh das ich Linux habe, mit einer lokalen KI die nicht überwacht wird.

Cheers 😊

 

[Lora]

@dermatu

Jo bei curl kocht es auch, wie schlimm unklar

https://www.heise.de/news/cURL-Info...seit-Langem-kommen-am-11-Oktober-9326134.html

Wurde bei Debian gefixt, gab Tage davor schon andere fixes für curl