⚠️Sicherheitslücken in GNU C Bibliothek entdeckt⚠️


    Moin Moin.

    Quicky-News:

    Die Qualys Threat Research Unit (TRU) entdeckte kürzlich kritische Sicherheitslücken in der weitverbreiteten GNU C Bibliothek (glibc), die für die meisten Linux-Distributionen von zentraler Bedeutung ist.

    CVE-2023-6246, CVE-2023-6779, CVE-2023-6780: Lokale Privilegien-Ausweitung durch Pufferüberlauf in __vsyslog_internal().

    Betroffene Systeme: Debian 12/13, Ubuntu 23.04/23.10, Fedora 37-39 und Derivate.

    32 Jahre alte Lücke: Qsort-Sortierfunktion ist ebenfalls betroffen (Version: 1.04 bis 2.28), bisher sind aber kein Exploit nachgewiesen.

    Aktualisierte Pakete für Debian und Fedora sind verfügbar.

    Achtung: Ubuntu bleibt vorerst verwundbar. Vermeidet den Exploit-Test auf produktiven Systemen!

    Mehr Infos auf Deutsch
    (Adblocker aktiviert?)
    Mehr Infos auf Englisch

    mfg: evilware666

  • evilware666 1. Februar 2024 um 19:07

    Hat den Titel des Themas von „Sicherheitslücken in GNU C Bibliothek entdeckt!“ zu „⚠️Sicherheitslücken in GNU C Bibliothek entdeckt⚠️“ geändert.

    Das wird auch andere Distributionen betreffen, nur die größten sind im Artikel aufgezählt:

    Einfach mal ldd --version im Terminal eingeben.

    Ab einer glibc Version von 2.36 ist ein Update in nächster Zeit doch recht wichtig!

    Keine Alternativen ? Kein Mitleid !

    Debian XFCE und Void XFCE

    Code
    ~$ ldd --version 
ldd (Debian GLIBC 2.36-9+deb12u4) 2.36
Copyright © 2022 Free Software Foundation, Inc.
Dies ist freie Software; in den Quellen befinden sich die Lizenzbedingungen.
Es gibt KEINERLEI Garantie; nicht einmal für die TAUGLICHKEIT oder
VERWENDBARKEIT FÜR EINEN ANGEGEBENEN ZWECK.
Implementiert von Roland McGrath und Ulrich Drepper.

    PC: AMD Ryzen 7 5700X | AMD RX6600 | 32GB RAM | Debian 12 Xfce
    Notebook: AMD Ryzen 5 5300U | Vega Graphic | 16GB RAM | Debian 12 Xfce

    Ich weiß nicht ob meine angezeigte Version mit oder ohne Fehler ist, muss ich erst noch gucken.

    PC: AMD Ryzen 7 5700X | AMD RX6600 | 32GB RAM | Debian 12 Xfce
    Notebook: AMD Ryzen 5 5300U | Vega Graphic | 16GB RAM | Debian 12 Xfce

    harihegen

    Auf Debian stand ja gestern abend schon das Update der glibc bereit :)

    (übrigens auch auf Void)

    Auf Linux Mint ist die GlibC zu alt für das Problem: ;)

    ldd --version
    ldd (Ubuntu GLIBC 2.35-0ubuntu3.6) 2.35
    Copyright © 2022 Free Software Foundation, Inc.
    Dies ist freie Software; in den Quellen befinden sich die Lizenzbedingungen.
    Es gibt KEINERLEI Garantie; nicht einmal für die TAUGLICHKEIT oder
    VERWENDBARKEIT FÜR EINEN ANGEGEBENEN ZWECK.
    Implementiert von Roland McGrath und Ulrich Drepper.

    Keine Alternativen ? Kein Mitleid !

    Debian XFCE und Void XFCE

    Zitat von staryvyr

    harihegen

    Auf Debian stand ja gestern abend schon das Update der glibc bereit :)

    Ich habe aber gestern kein Update gemacht, erst gerade hab ich es angestoßen und es zeigt diese Aktualisierungen:


    Code
    Paketaktualisierung (Upgrade) wird berechnet… Fertig
Die folgenden Pakete werden aktualisiert (Upgrade):
  chromium chromium-common chromium-sandbox code libgnutls30 libgnutls30:i386
  libnextcloudsync0 linux-compiler-gcc-12-x86 linux-kbuild-6.1 linux-libc-dev
  nautilus-nextcloud nextcloud-desktop nextcloud-desktop-common
  nextcloud-desktop-doc nextcloud-desktop-l10n openjdk-17-jre
  openjdk-17-jre-headless usb.ids usbutils
19 aktualisiert, 0 neu installiert, 0 zu entfernen und 0 nicht aktualisiert.

    PC: AMD Ryzen 7 5700X | AMD RX6600 | 32GB RAM | Debian 12 Xfce
    Notebook: AMD Ryzen 5 5300U | Vega Graphic | 16GB RAM | Debian 12 Xfce

    harihegen

    Sorry ich habe da nicht gleich geschaltet:

    Wir haben dieselbe glibc-Version 2.36-9. Du hattest das Update schon früher als gestern abend

    (zu dem Zeitpunkt ist es mir erst aufgefallen).

    Keine Alternativen ? Kein Mitleid !

    Debian XFCE und Void XFCE

    Zitat von colin

    aktuell ist doch 2.38 ?

    und bei Version 2.39 soll das gepatched sein ?

    Scheint so

    Code
    $ ldd --version
ldd (Debian GLIBC 2.36-9+deb12u4) 2.36
Copyright © 2022 Free Software Foundation, Inc.
Dies ist freie Software; in den Quellen befinden sich die Lizenzbedingungen.
Es gibt KEINERLEI Garantie; nicht einmal für die TAUGLICHKEIT oder
VERWENDBARKEIT FÜR EINEN ANGEGEBENEN ZWECK.
Implementiert von Roland McGrath und Ulrich Drepper.

    So sieht es jedenfalls bei mir seit Gestern aus.

    so bei mir

    $ ldd --version
    ldd (Debian GLIBC 2.36-9+deb12u4) 2.36
    Copyright © 2022 Free Software Foundation, Inc.
    Dies ist freie Software; in den Quellen befinden sich die Lizenzbedingungen.
    Es gibt KEINERLEI Garantie; nicht einmal für die TAUGLICHKEIT oder
    VERWENDBARKEIT FÜR EINEN ANGEGEBENEN ZWECK.
    Implementiert von Roland McGrath und Ulrich Drepper.

    --> LMDE 6 Faye

    --> 6.6.13+bpo-amd64

    --> Cinnamon-Version 6.0.4

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden