ComputerBase Menü
Aktuelles

News Ubuntu, Debian & Co.: Schwachstelle in glibc gewährt Root-Zugriff unter Linux

flaphoschi schrieb:
Wie es zu einer Rechteausweitung kommen kann, wuerde ich gerne wissen.
Zum Vergrößern anklicken....
Indem der Angreifer eine suid binary startet und über diese den glibc Bug für Code execution ausnutzt.
 
  • Gefällt mir
Reaktionen: flaphoschi
Da fühlen sich ja einige gleich auf den Schlipps getreten. The untouchable Linux.

@blackiwid
Es wäre wahrnehmungsverzerrend, wenn man nicht über Linux-Sicherheitslücken berichten würde.
Sollte CB diese Informationen zurückhalten, nur weil die Forum-User daraus einen Win-Linux-Krieg machen?

Android, Mac-/iOS und Windows sind unsicherer "Schrott", mit Linux kannst'e dich zurücklehnen? :freak:

@PegasusHunter
Ich finde es unhöflich CB (ComputerBase) als Computer-Bild hinzustellen.

@Lora
Danke, dass wir jetzt wissen, dass wir mit Linux 2 Montate sicherer sind als mit Windows.
Aber diese Screenshots tun in den Augen weh. :freak:
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: sikarr, ReignInBlo0d, Tux_tty und eine weitere Person
Die Kommentare sind in der Regel unterhaltsamer als die eigentliche News.
Bei Windows lachen Linux Nutzer über alte Sicherheitslücken die gefixt wurden und tippen sich auf der Tatstatur fast zum Höhepunkt.
Bei Linux sind solche Lücken dann für diese Nutzer wieder "halb so wild" und eigentlich ja gar nicht mal berichtenswert.
:rolleyes:
 
  • Gefällt mir
Reaktionen: sikarr, sh., Tux_tty und 2 andere
floTTes schrieb:
Da fühlen sich ja einige gleich auf den Schlipps getreten. The untouchable Linux.
Zum Vergrößern anklicken....
Äh nein...?

Wurden hier Beiträge gelöscht oder woher fantasierst du diese Strohmann-Argumente?
 
  • Gefällt mir
Reaktionen: Muntermacher und Termy
@FrAGgi Unter Linux ist das Witzige, dass die Systeme der meisten hier bereits gefixt sind oder zumindest das Update bereit haben, wenn so ein Artikel erscheint.
 
  • Gefällt mir
Reaktionen: netzgestaltung, fram, MonteDrago und 6 andere
Sicherheitslücken, egal bei welchem OS , sind unvermeidbar!
Aber es kommt darauf an, wie schnell sie gefixt werden.
Und da ist die Linux-Entwicklergemeinde ein wiiiinziges Stück schneller als die armen , kleinen Konzerne, die nicht wissen, wie sie vor Hunger in den Schlaf kommen sollen.

Wie heist eigentlich der "sudo-Befehl" in Windows (nein ich meine nicht rechte Maustaste als Administrator ausführen), weil das Linuxsystem ja viele Rechte einschränkt. Vielleicht kann ich das ja auch in Windows nutzen / aktivieren. :schluck: :heilig:

Edit: Administrator ausführen hinzugefügt
 
  • Gefällt mir
Reaktionen: sikarr und Termy
Da sind wir ja schnell bei Polemik angekommen. Eskalation += 1.

PegasusHunter schrieb:
Und da ist die Linux-Entwicklergemeinde ein wiiiinziges Stück schneller als die armen , kleinen Konzerne, die nicht wissen, wie sie vor Hunger in den Schlaf kommen sollen.
Zum Vergrößern anklicken....
Die Hierarchie eines Unternehmens hat längere Autorisierungswege. Da schreibt man nicht mal eben an den Head-Kernel-Entwickler. Zumal diese/r auf dem Golfplatz auch nicht unbedingt Empfang hat.

PegasusHunter schrieb:
Wie heist eigentlich der "sudo-Befehl" in Windows (nein ich meine nicht rechte Maustaste als Administrator ausführen), weil das Linuxsystem ja viele Rechte einschränkt. Vielleicht kann ich das ja auch in Windows nutzen / aktivieren. :schluck: :heilig:
Zum Vergrößern anklicken....
Windows ist so sicher, dass es sogar Dateien gibt, die nicht einmal der Admin/root ändern kann! :evillol:

sudo vor einen Befehl zu setzen, macht das ganze System auch nicht sicherer.

Ich versuche mir einen objektiven Blick auf Betriebssysteme zu bewahren. Wenn ihr Linux zum Heiland und Windows zum Buckligen macht, ist das eure Entscheidung - oder doch eher Dogmatismus? :freak:

BTT:
Ich bin froh, dass es hier solche News gibt. Erinnert mich daran, dass ich mal paar Updates anstoßen sollte.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Tux_tty und aragorn92
Mal ne Frage an die Profis hier:
Wie stelle ich fest, welche libc ich auf dem System überhaupt rumliegen habe? Also obs jetzt die GNU libc ist oder irgendwas anderes.
:-)
 
  • Gefällt mir
Reaktionen: pas06 und Lora
Donnerkind schrieb:
Und ich als Linux-Nutzer freue mich dann immer, dass die Distributionen oft schon einen Fix ausgerollt haben noch bevor ich von der Schwachstelle in den Medien lese.
Zum Vergrößern anklicken....
Das ist in allen Software-Bereichen üblich so, weil die Medien (bzw. Sicherheitsforscher) sich meistens mit dem Reporting zurückhalten bis der Fix da ist.

Ärger gibt es dann nur mal, wenn ein Problem gemeldet wird, sich monatelang nichts tut, und dann die Sicherheitsforscher an die Presse gehen um es zu forcieren.

Ausnahmen sind zero-days, welche es in Linux gleichermaßen gibt wie in jeder anderen Software. Da ist dann auch ein day-1 fix extrem unwahrscheinlich.
 
  • Gefällt mir
Reaktionen: Tux_tty und aragorn92
PegasusHunter schrieb:
Sicherheitslücken, egal bei welchem OS , sind unvermeidbar!
Zum Vergrößern anklicken....
Unglücklicherweise ist das 'ne Argumentation die sich die Softwareindustrie zueigen gemacht hat, um teilweise doch recht zweifelhafte Softwarequalität zu rechtfertigen.
Das sollte man also nicht einfach so unreflektiert nachplappern.

Mal davon abgesehen, das es schon Möglichkeiten gibt Fehlermöglichkeiten drastisch zu reduzieren. Ein radikaler (und zugegebenermaßen auch aufwendiger) Ansatz wäre eine formale Softwareverifikation.
Aber gibt natürlich auch ein paar Regale tiefer Möglichkeiten da verbeugend einzuwirken. Durch Wahl einer Programmiersprache, die bestimmte Fehlerklassen eliminiert (das ist einer der Gründe, warum man Rust im Linuxkernel eingeführt hat). Man kann Techniken/Compilerfeatures/Funktionen verwenden, die helfen Fehler zu vermeiden.

Es gibt also Alternativen zur Szenerie "Wir programmieren herum und gucken mal, ob Bugs auftreten und wenn, dann fixen wir die zeitnah".
Und glücklicherweise wird das ja auch gemacht.
 
  • Gefällt mir
Reaktionen: Eier-Salat, Evil E-Lex, MountWalker und eine weitere Person
andy_m4 schrieb:
Mal ne Frage an die Profis hier:
Wie stelle ich fest, welche libc ich auf dem System überhaupt rumliegen habe?
Zum Vergrößern anklicken....
rpm -qi {paketname}
dpkg -p {paketname}
apt show {paketname}

Zeigt Informationen eines bereits installierten Pakets 👍
 
  • Gefällt mir
Reaktionen: Muntermacher, Feuerbiber und Skysnake
Lora schrieb:
Zeigt Informationen eines bereits installierten Pakets
Zum Vergrößern anklicken....
Code: 
$ rpm
sh: rpm: not found
$ dpkg
sh: rpm: not found
$ apt
sh: rpm: not found
Mal davon abgesehen, das ich ungern über irgendwelche Pakete/Paketnamen gehen würde.
Ich hab ne Datei /usr/lib/libc.so (die ist auch im Library-Path aufgeführt)
und will jetzt auf direktem Wege heraus finden, ob das ne glibc oder irgendwas anderes ist.
Möglicherweise über sowas wie
readelf -h /path/to/libc.so
oder dergleichen.
 
floTTes schrieb:
@blackiwid
Es wäre wahrnehmungsverzerrend, wenn man nicht über Linux-Sicherheitslücken berichten würde.
Zum Vergrößern anklicken....

https://security.gentoo.org/
https://security.archlinux.org/issues/all
https://access.redhat.com/security/security-updates/


Gute Unterhaltung bei der taeglichen Lektuere wuenscht der Securitytracker.

Einerseits wollen wir aktiv angesprochen werden, wenn es eine schwere Luecke gibt, Wissen aufgebaut werden kann oder gar Nutzeraktionen erforderlich sind. Andererseits brauchen wir die Ablenkung von Wichtigem nicht. Wenn seit Wochen nichts los ist muss Golem wieder einen Scrum Artikel loslassen (wohlwissend das Entwickler Scrum hassen, ausser ein paar wenige) und Computerbase berichtet ueber die neueste Linuxdistribution von Distrowatch (es ist jedes mal Linux, anders verpackt, meist ein Derivat).

Wir sollten hier die Sicherheitsluecke nicht unterschaetzen. Es ist das Gleiche zu tun, was wir jeden {Tag, Woche, Monat, Vierteljahr} machen - die Paketverwaltung verwenden, kontrollieren und bei Gefallen einspielen. Bei Apple nennt sich das iOS 17.3.1{a,b,c}. Windows knamlltes ungefragt rein und der Drucker, SMB oder AD funktioniert hinterher nicht. Und dann gibt es weiter ein Upgrade mit neuen Features und neuen Fehlern und es sind meist mehr als vorher. Was ich sagen moechte, die Entwickler und Maintainer kuemmern sich. Das ist die relevante Gruppe.

Umgekehrt, wir wollen und brauchen Berichterstattung, wenn Entwickler wie bie Log4J schlechte Ideen mit Logikfehlern kombinieren. Oder wenn Intel mal wieder eine schlechte Idee hat (UEFI aufblassen bis zur Unkenntlichkeit, IME, Hyper-Threading) und das auf Logikfehler trifft. Irgendwie scheint mich gerade die Kombination aus schlechter Idee und Logikfehler zu beunruhigen.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Termy und floTTes
andy_m4 schrieb:
Wie stelle ich fest, welche libc ich auf dem System überhaupt rumliegen habe?
Zum Vergrößern anklicken....
./path/to/lib/libc.so.6
 
  • Gefällt mir
Reaktionen: rarp und up.whatever
andy_m4 schrieb:
Code: 
$ rpm
sh: rpm: not found
$ dpkg
sh: rpm: not found
$ apt
sh: rpm: not found
Mal davon abgesehen, das ich ungern über irgendwelche Pakete/Paketnamen gehen würde.
Ich hab ne Datei /usr/lib/libc.so (die ist auch im Library-Path aufgeführt)
und will jetzt auf direktem Wege heraus finden, ob das ne glibc oder irgendwas anderes ist.
Möglicherweise über sowas wie
readelf -h /path/to/libc.so
oder dergleichen.
Zum Vergrößern anklicken....
"dpkg" und "apt" melden sich bei dir als "rpm"? :p nutze den paketmanager deiner distri oder lass dir vom anbieter der distri oder des systems den source geben.
 
  • Gefällt mir
Reaktionen: Feuerbiber
0x8100 schrieb:
"dpkg" und "apt" melden sich bei dir als "rpm"?
Zum Vergrößern anklicken....
Sorry. Mein Fehler beim übertragen. Zuviel copypasted. Ändert aber nix daran, das ich kein rpm, apt, dpkg hab.
Es ging ja auch darum, es ohne Paketmanager festzustellen.

0x8100 schrieb:
systems den source geben.
Zum Vergrößern anklicken....
.. und ohne in den Source-Code zu gucken. :-)
 
probier in dem speziellen fallstrings:
Code: 
$ strings /lib/x86_64-linux-gnu/libc.so.6 | grep -i glibc
...
glibc 2.35
GNU C Library (Ubuntu GLIBC 2.35-0ubuntu3.6) stable release version 2.35.
 
  • Gefällt mir
Reaktionen: floTTes
andy_m4 schrieb:
Mal ne Frage an die Profis hier:
Zum Vergrößern anklicken....
Da du mich nicht meinen kannst schau ich einfach, ohne den Rechner anzuschalten, in die Repos meiner Distribution. Zack. Versionsnummer bekannt. :^)
 
  • Gefällt mir
Reaktionen: Feuerbiber
sedot schrieb:
Versionsnummer bekannt. :^)
Zum Vergrößern anklicken....
Du bist leider schon an der Frage gescheitert. Es ging nicht um die Versionsnummer, sondern ob ich überhaupt ne GNU-libc hab. Aber Danke für Deine Hilfe. :-)
 
  • Gefällt mir
Reaktionen: sedot
Du musst dich einloggen oder registrieren, um hier zu antworten.

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz