News Ubuntu, Debian & Co.: Schwachstelle in glibc gewährt Root-Zugriff unter Linux

[up.whatever]

Wie es zu einer Rechteausweitung kommen kann, wuerde ich gerne wissen.

Indem der Angreifer eine suid binary startet und über diese den glibc Bug für Code execution ausnutzt.

 

[floTTes]

Da fühlen sich ja einige gleich auf den Schlipps getreten. The untouchable Linux.

@blackiwid
Es wäre wahrnehmungsverzerrend, wenn man nicht über Linux-Sicherheitslücken berichten würde.
Sollte CB diese Informationen zurückhalten, nur weil die Forum-User daraus einen Win-Linux-Krieg machen?

Android, Mac-/iOS und Windows sind unsicherer "Schrott", mit Linux kannst'e dich zurücklehnen?

@PegasusHunter
Ich finde es unhöflich CB (ComputerBase) als Computer-Bild hinzustellen.

@Lora
Danke, dass wir jetzt wissen, dass wir mit Linux 2 Montate sicherer sind als mit Windows.
Aber diese Screenshots tun in den Augen weh.

 

[FrAGgi]

Die Kommentare sind in der Regel unterhaltsamer als die eigentliche News.
Bei Windows lachen Linux Nutzer über alte Sicherheitslücken die gefixt wurden und tippen sich auf der Tatstatur fast zum Höhepunkt.
Bei Linux sind solche Lücken dann für diese Nutzer wieder "halb so wild" und eigentlich ja gar nicht mal berichtenswert.

 

[Tevur]

Da fühlen sich ja einige gleich auf den Schlipps getreten. The untouchable Linux.

Äh nein...?

Wurden hier Beiträge gelöscht oder woher fantasierst du diese Strohmann-Argumente?

 

[pseudopseudonym]

@FrAGgi Unter Linux ist das Witzige, dass die Systeme der meisten hier bereits gefixt sind oder zumindest das Update bereit haben, wenn so ein Artikel erscheint.

 

[PegasusHunter]

Sicherheitslücken, egal bei welchem OS , sind unvermeidbar!
Aber es kommt darauf an, wie schnell sie gefixt werden.
Und da ist die Linux-Entwicklergemeinde ein wiiiinziges Stück schneller als die armen , kleinen Konzerne, die nicht wissen, wie sie vor Hunger in den Schlaf kommen sollen.

Wie heist eigentlich der "sudo-Befehl" in Windows (nein ich meine nicht rechte Maustaste als Administrator ausführen), weil das Linuxsystem ja viele Rechte einschränkt. Vielleicht kann ich das ja auch in Windows nutzen / aktivieren.

Edit: Administrator ausführen hinzugefügt

 

[floTTes]

Da sind wir ja schnell bei Polemik angekommen. Eskalation += 1.

Und da ist die Linux-Entwicklergemeinde ein wiiiinziges Stück schneller als die armen , kleinen Konzerne, die nicht wissen, wie sie vor Hunger in den Schlaf kommen sollen.

Die Hierarchie eines Unternehmens hat längere Autorisierungswege. Da schreibt man nicht mal eben an den Head-Kernel-Entwickler. Zumal diese/r auf dem Golfplatz auch nicht unbedingt Empfang hat.

Wie heist eigentlich der "sudo-Befehl" in Windows (nein ich meine nicht rechte Maustaste als Administrator ausführen), weil das Linuxsystem ja viele Rechte einschränkt. Vielleicht kann ich das ja auch in Windows nutzen / aktivieren.

Windows ist so sicher, dass es sogar Dateien gibt, die nicht einmal der Admin/root ändern kann!

sudo vor einen Befehl zu setzen, macht das ganze System auch nicht sicherer.

Ich versuche mir einen objektiven Blick auf Betriebssysteme zu bewahren. Wenn ihr Linux zum Heiland und Windows zum Buckligen macht, ist das eure Entscheidung - oder doch eher Dogmatismus?

BTT:
Ich bin froh, dass es hier solche News gibt. Erinnert mich daran, dass ich mal paar Updates anstoßen sollte.

 

[andy_m4]

Mal ne Frage an die Profis hier:
Wie stelle ich fest, welche libc ich auf dem System überhaupt rumliegen habe? Also obs jetzt die GNU libc ist oder irgendwas anderes.
:-)

 

[Rickmer]

Und ich als Linux-Nutzer freue mich dann immer, dass die Distributionen oft schon einen Fix ausgerollt haben noch bevor ich von der Schwachstelle in den Medien lese.

Das ist in allen Software-Bereichen üblich so, weil die Medien (bzw. Sicherheitsforscher) sich meistens mit dem Reporting zurückhalten bis der Fix da ist.

Ärger gibt es dann nur mal, wenn ein Problem gemeldet wird, sich monatelang nichts tut, und dann die Sicherheitsforscher an die Presse gehen um es zu forcieren.

Ausnahmen sind zero-days, welche es in Linux gleichermaßen gibt wie in jeder anderen Software. Da ist dann auch ein day-1 fix extrem unwahrscheinlich.

 

[andy_m4]

Sicherheitslücken, egal bei welchem OS , sind unvermeidbar!

Unglücklicherweise ist das 'ne Argumentation die sich die Softwareindustrie zueigen gemacht hat, um teilweise doch recht zweifelhafte Softwarequalität zu rechtfertigen.
Das sollte man also nicht einfach so unreflektiert nachplappern.

Mal davon abgesehen, das es schon Möglichkeiten gibt Fehlermöglichkeiten drastisch zu reduzieren. Ein radikaler (und zugegebenermaßen auch aufwendiger) Ansatz wäre eine formale Softwareverifikation.
Aber gibt natürlich auch ein paar Regale tiefer Möglichkeiten da verbeugend einzuwirken. Durch Wahl einer Programmiersprache, die bestimmte Fehlerklassen eliminiert (das ist einer der Gründe, warum man Rust im Linuxkernel eingeführt hat). Man kann Techniken/Compilerfeatures/Funktionen verwenden, die helfen Fehler zu vermeiden.

Es gibt also Alternativen zur Szenerie "Wir programmieren herum und gucken mal, ob Bugs auftreten und wenn, dann fixen wir die zeitnah".
Und glücklicherweise wird das ja auch gemacht.

 

[Lora]

Mal ne Frage an die Profis hier:
Wie stelle ich fest, welche libc ich auf dem System überhaupt rumliegen habe?

rpm -qi {paketname}
dpkg -p {paketname}
apt show {paketname}

Zeigt Informationen eines bereits installierten Pakets 👍

 

[andy_m4]

Zeigt Informationen eines bereits installierten Pakets

$ rpm
sh: rpm: not found
$ dpkg
sh: rpm: not found
$ apt
sh: rpm: not found

Mal davon abgesehen, das ich ungern über irgendwelche Pakete/Paketnamen gehen würde.
Ich hab ne Datei /usr/lib/libc.so (die ist auch im Library-Path aufgeführt)
und will jetzt auf direktem Wege heraus finden, ob das ne glibc oder irgendwas anderes ist.
Möglicherweise über sowas wie
readelf -h /path/to/libc.so
oder dergleichen.

 

[Mensch_lein]

Also ich finde es gut, dass auch solche News kommen.

 

[flaphoschi]

@blackiwid
Es wäre wahrnehmungsverzerrend, wenn man nicht über Linux-Sicherheitslücken berichten würde.

https://security.gentoo.org/
https://security.archlinux.org/issues/all
https://access.redhat.com/security/security-updates/


Gute Unterhaltung bei der taeglichen Lektuere wuenscht der Securitytracker.

Einerseits wollen wir aktiv angesprochen werden, wenn es eine schwere Luecke gibt, Wissen aufgebaut werden kann oder gar Nutzeraktionen erforderlich sind. Andererseits brauchen wir die Ablenkung von Wichtigem nicht. Wenn seit Wochen nichts los ist muss Golem wieder einen Scrum Artikel loslassen (wohlwissend das Entwickler Scrum hassen, ausser ein paar wenige) und Computerbase berichtet ueber die neueste Linuxdistribution von Distrowatch (es ist jedes mal Linux, anders verpackt, meist ein Derivat).

Wir sollten hier die Sicherheitsluecke nicht unterschaetzen. Es ist das Gleiche zu tun, was wir jeden {Tag, Woche, Monat, Vierteljahr} machen - die Paketverwaltung verwenden, kontrollieren und bei Gefallen einspielen. Bei Apple nennt sich das iOS 17.3.1{a,b,c}. Windows knamlltes ungefragt rein und der Drucker, SMB oder AD funktioniert hinterher nicht. Und dann gibt es weiter ein Upgrade mit neuen Features und neuen Fehlern und es sind meist mehr als vorher. Was ich sagen moechte, die Entwickler und Maintainer kuemmern sich. Das ist die relevante Gruppe.

Umgekehrt, wir wollen und brauchen Berichterstattung, wenn Entwickler wie bie Log4J schlechte Ideen mit Logikfehlern kombinieren. Oder wenn Intel mal wieder eine schlechte Idee hat (UEFI aufblassen bis zur Unkenntlichkeit, IME, Hyper-Threading) und das auf Logikfehler trifft. Irgendwie scheint mich gerade die Kombination aus schlechter Idee und Logikfehler zu beunruhigen.

 

[schwimmcoder]

Wie stelle ich fest, welche libc ich auf dem System überhaupt rumliegen habe?

./path/to/lib/libc.so.6

 

[0x8100]

$ rpm
sh: rpm: not found
$ dpkg
sh: rpm: not found
$ apt
sh: rpm: not found

Mal davon abgesehen, das ich ungern über irgendwelche Pakete/Paketnamen gehen würde.
Ich hab ne Datei /usr/lib/libc.so (die ist auch im Library-Path aufgeführt)
und will jetzt auf direktem Wege heraus finden, ob das ne glibc oder irgendwas anderes ist.
Möglicherweise über sowas wie
readelf -h /path/to/libc.so
oder dergleichen.

"dpkg" und "apt" melden sich bei dir als "rpm"? nutze den paketmanager deiner distri oder lass dir vom anbieter der distri oder des systems den source geben.

 

[andy_m4]

"dpkg" und "apt" melden sich bei dir als "rpm"?

Sorry. Mein Fehler beim übertragen. Zuviel copypasted. Ändert aber nix daran, das ich kein rpm, apt, dpkg hab.
Es ging ja auch darum, es ohne Paketmanager festzustellen.

systems den source geben.

.. und ohne in den Source-Code zu gucken. :-)

 

[0x8100]

probier in dem speziellen fallstrings:

$ strings /lib/x86_64-linux-gnu/libc.so.6 | grep -i glibc
...
glibc 2.35
GNU C Library (Ubuntu GLIBC 2.35-0ubuntu3.6) stable release version 2.35.

 

[sedot]

Mal ne Frage an die Profis hier:

Da du mich nicht meinen kannst schau ich einfach, ohne den Rechner anzuschalten, in die Repos meiner Distribution. Zack. Versionsnummer bekannt. :^)

 

[andy_m4]

Versionsnummer bekannt. :^)

Du bist leider schon an der Frage gescheitert. Es ging nicht um die Versionsnummer, sondern ob ich überhaupt ne GNU-libc hab. Aber Danke für Deine Hilfe. :-)