News Ubuntu, Debian & Co.: Schwachstelle in glibc gewährt Root-Zugriff unter Linux
Aber wenn meine Distribution jetzt nicht darunter ist?flaphoschi schrieb:
Ich verstehe deinen Punkt, allerdings "muss" es auch Aufklärung geben. Zudem wird einem User die Wahl gelassen, ob er einen Artikel nun anklickt oder nicht. Ich habe nicht das Gefühl, dass auf CB zu viele News sind. Leider kriege ich 'ne Bürste, wenn man der Redaktion Engstirnigkeit oder gar Linux-Diss unterstellen möchte - noch übler: Intel vs. AMD, AMD vs. nVidia, Razer vs. Logitech ...flaphoschi schrieb:
Wenn Click-Baiting (ohne T*tten, ohne Fake, etc.) funktioniert, wer ist dann der Böse? Die Redaktion? Oder der unmündige User?
In wie weit ist eine Redaktion "verpflichtet", Informationen zurück zu halten, nur weil die Informationsempfänger damit nicht angemessen umgehen können?
Ist ja nicht so, dass ein unabwehrbarer Meteorit auf die Erde zurast und wir in Panik gleich den Nächstbesten erschießen.
Du hast natürlich vollkommen Recht damit, dass die relevante Zielgruppe sich eh und anders darum kümmert.
Viel wichtiger als die News über die glibc-Sicherheitslücke finde ich die Sub-Nachricht: kein Betriebssystem ist sicher.
Es ist auch absolut nice, dass sich solche Probleme unter Linux für Endnutzer quasi von selbst erledigen - schneller Fix, welcher über die Paketverwaltung verteilt wird.
Für die Linux-ist-SICHERER-als-Windows-Fraktion: Ja, gerne! Aber auch da kann es hier und da passieren, dass es mal nicht läuft. Soll man das verschweigen?
Ist angebrachte Kritik gleich Nestbeschmutzung? Da kann ich nur meinen Kopf schütteln ...
Zuletzt bearbeitet:
andy_m4
Admiral
- Registriert
- Aug. 2015
- Beiträge
- 7.454
Ich bin stets bemüht. :-)sedot schrieb:
Ich würde sogar noch weiter gehen. Es muss Kritik geben. Und wenn irgendwie verharmlost oder relativiert wird, ist das sogar ein eher schlechtes Zeichen.floTTes schrieb:
Und Kritik darf auch hart sein. Solange sie sachlich und fundiert ist, ist da überhaupt nix gegen einzuwenden.
Glücklicherweise sieht man das in der Entwicklergemeinschaft auch so. Was hier diskutiert wird ist ja, wenn wir mal ganz ehrlich sind, nur am Rande interessant. Das ist eher eine Plattform für Infotainment. :-)
ModellbahnerTT
Banned
- Registriert
- Jan. 2010
- Beiträge
- 2.020
Erschreckende das manche Lücke solange unentdeckt bleibt, da möchte ich nicht wissen was an Sicherheitslücken noch in so manch anderer Bibliothek lauert.
dichter-karl
Lt. Junior Grade
- Registriert
- Dez. 2008
- Beiträge
- 476
GNU\Linux hat das Dilemma der Eierlegendenwollmilchsau.
glibc, systemd und die damit einhergehende nicht POSIX Konformität
Benutze jetzt seit längerem Voidlinux mit musl statt glibc, aber das ist nichts für jedermann, auch wenn man dank flatpak viel zum laufen bekommt
glibc, systemd und die damit einhergehende nicht POSIX Konformität
Benutze jetzt seit längerem Voidlinux mit musl statt glibc, aber das ist nichts für jedermann, auch wenn man dank flatpak viel zum laufen bekommt
Termy
Commodore
- Registriert
- Mai 2007
- Beiträge
- 4.967
RedHat ist ziemlich sicher genauso dabei - nur eben nicht "bestätigt", vermutlich weil die Forscher keine RHEL-Lizenz habenSkysnake schrieb:
Dürfte aber dort genauso wie bei so ziemlich jeder anderen ernstzunehmenden Distro inzwischen gepatcht sein ^^
MountWalker
Fleet Admiral
- Registriert
- Juni 2004
- Beiträge
- 13.997
Fedora war ja betroffen und Fedora->CentOS->RHEL, insofern untestreiche ich mal das ziemlich sicher.
P.S.
Gibt es überhaupt eine aktive Linux-Distribution für Nicht-Smartphones, die was anderes als glibc nutzt?
Ergänzung ()
P.S.
Gibt es überhaupt eine aktive Linux-Distribution für Nicht-Smartphones, die was anderes als glibc nutzt?
Zuletzt bearbeitet:
Nein das ist nicht richtig. In den Security advisories von RedHat steht explizit ein "not affected" drin. Sie haben wohl eine nicht betroffene Basis verwendet und weiter entwickelt.Termy schrieb:RedHat ist ziemlich sicher genauso dabei - nur eben nicht "bestätigt", vermutlich weil die Forscher keine RHEL-Lizenz haben
Dürfte aber dort genauso wie bei so ziemlich jeder anderen ernstzunehmenden Distro inzwischen gepatcht sein ^^
up.whatever
Commander
- Registriert
- Dez. 2006
- Beiträge
- 2.648
Die glibc in RedHat ist schlicht und einfach zu alt um den Bug zu enthalten.
Okona
Cadet 3rd Year
- Registriert
- Jan. 2017
- Beiträge
- 50
MountWalker schrieb:
Ja, mir faellt auf Anhieb Alpine Linux dazu ein. Fuer Interessierte, noch mehr Info im Alpine Wiki.
(Damit ist Alpine auch zumindest weniger GNU/Linux)
Muntermacher
Lt. Commander
- Registriert
- Sep. 2022
- Beiträge
- 1.118
Gegenfrage zuerst:floTTes schrieb:Wenn Click-Baiting (ohne T*tten, ohne Fake, etc.) funktioniert, wer ist dann der Böse? Die Redaktion? Oder der unmündige User?
Es ist bekannt, daß insbesondere bei Spielen mit Mikrobezahlungen süchtig machende Elemente eingebaut werden. Wer ist dann schuld, der Anbieter oder der Spieler? Clickbait funktioniert ähnlich.
Also ja, die Redaktion ist dann schuld, sofern wissentlich Clickbait betrieben wird.
Auf gar keinen Fall sollen Informationen zurückgehalten werden, da bin ich voll bei Dir.floTTes schrieb:
Nicht verschweigen, aber korrekt wiedergeben. Nahezu jeden Tag, an dem ich Linux starte, gibt es Updates, es wird viel schneller gefixt. Nicht umsonst haben viele Distros wohl schon den Patch gehabt bevor der Artikel erschien. Das gibts bei Windows i.d.R. nur, wenn MS die Lücke selber fand oder die Finder netterweise länger warteten mit Publizierung der Lücke als die übliche Sperrfrist.floTTes schrieb:
Lora
Lieutenant
- Registriert
- Jan. 2022
- Beiträge
- 601
Die Paketliste sagt aber was anderes:Okona schrieb:
https://distrowatch.com/table.php?distribution=alpine&pkglist=true&version=3.19.1#pkglist
Termy
Commodore
- Registriert
- Mai 2007
- Beiträge
- 4.967
Was ja trotzdem immer noch stimmt.Gerry18 schrieb:
Jedes System hat Fehler und Bugs, das lässt sich leider schwer vermeiden.
Entscheidend ist, wie und wie schnell damit umgegangen wird, wenn Fehler bekannt werden.
Bei Linux ist eine Lücke in aller Regel schon gepatcht, wenn sie veröffentlicht wird.
Bei anderen...ich verweise einfach mal auf Post #18
Mir ist als glibc-Alternative eigentlich nur musl ein relevanter Begriff, daher ist wohl diese Liste ein guter Anfang:MountWalker schrieb:
https://wiki.musl-libc.org/projects-using-musl
Wie komplett und aktuell diese ist kann ich natürlich nicht sagen ^^
Edit: nach kurzer Suche scheint es wirklich so zu sein, dass es eigentlich nur glibc und musl als "universelle" C libraries im Linux-Umfeld gibt.
Zuletzt bearbeitet:
sikarr
Vice Admiral
- Registriert
- Mai 2010
- Beiträge
- 6.427
floTTes schrieb:Für die Linux-ist-SICHERER-als-Windows-Fraktion: Ja, gerne! Aber auch da kann es hier und da passieren, dass es mal nicht läuft. Soll man das verschweigen?
Das trift aber nur zu, wenn überhaupt, wenn auch die Systeme regelmäßig gewartet werden, also Updates auch eingespielt werden.pseudopseudonym schrieb:
Du willst nicht wissen wieviele veraltete Systeme noch bei Firmen laufen und online sind. Bei einem unserer Tochterunternehmen war noch ein CentOS5 am Netz.
Zuletzt bearbeitet:
Ranayna
Admiral
- Registriert
- Mai 2019
- Beiträge
- 7.592
Najagut, das Problem hast du immer, da gibt sich der Betriebssystemtyp nichts.sikarr schrieb:
Wenn ich da an die CNC Maschinen mit Windowssteuerung zurueckdenke...
Selbst als Windows XP noch im Support war: Eindeutige Aussage der Maschinenhersteller war, dass da auf garkeinen Fall Windows Updates drauf installiert werden duerfen, sonst gibts keinen Support. Ach ja, und VNC Fernwartungssoftware mit Internetzugriff muss natuerlich auch drauf, es sei denn sie wollen jedesmal einen Technikerbesuch bezahlen
Bei modernen Maschinen hat sich das inzwischen zum Glueck verbessert.
Aber auch wir haben noch alte Maschinen im Einsatz, bei der aeltestens laeuft Windows 2000 auf dem Steuerrechner. Die sind aber auch vollisoliert.
