Security: Glibc-Bugfix machte Lücke einfacher ausnutzbar

Das Beheben von Sicherheitslücken ist nicht immer so einfach, wie es anfangs scheint, was nun auch das Team der Glibc erfahren musste.

Artikel veröffentlicht am ,
Glibc stammt ursprünglich aus dem GNU-Projekt, agiert inzwischen aber unabhängig.
Glibc stammt ursprünglich aus dem GNU-Projekt, agiert inzwischen aber unabhängig. (Bild: JOHN THYS/AFP via Getty Images)

Das Sicherheitsteam von Tuxcare, die zu dem Linux-Distributor Cloudlinux gehören, hat einen eher ungewöhnlichen Fehler in der GNU Standard-C-Bibliothek (Glibc) gefunden und behoben. Dieser Fehler konnte relativ einfach einen sogenannten Segmentation Fault und damit einen Absturz der Bibliothek verursachen. Kurios daran ist, dass der Fehler erst durch einen vorhergehenden Bugfix überhaupt eingeführt wurde, wie das Magazin ZDNet schreibt.

Stellenmarkt
  1. Projektleitung Softwareentwicklung (m/w/d)
    Basler AG, Ahrensburg bei Hamburg
  2. Web-Developer / Front-Entwickler (m/w/d)
    BWS Consulting Group GmbH, Dortmund, Hannover, Wolfsburg
Detailsuche

Bei dem ursprünglichen Fehler (CVE-2021-33574) handelte es sich noch um eine Lücke mit vergleichsweise hohen Hürden und auch geringeren Auswirkungen. Im dazugehörigen Bug-Report schrieb der Red-Hat-Entwickler Siddhesh Poyarekar, dass es sehr viele Voraussetzungen brauche, um auch nur einen minimalen Angriff durchzuführen, bei dem eine Anwendung zum Absturz gebracht werden kann.

Dieser Fehler, ein Use-after-Free-Bug in den Versionen 2.32 und 2.33, ist dann natürlich behoben worden. Das Tuxcare-Team untersuchte dabei im Rahmen seiner Arbeit nicht nur, ob die von ihnen betreuten Distributionen betroffen sind, sondern betrachtete auch den konkreten Fehler und den Bugfix näher.

Linux: Das umfassende Handbuch von Michael Kofler. Für alle aktuellen Distributionen (Desktop und Server) (Deutsch)

Dabei entdeckte der Entwickler Nikita Popov eine weitere Lücke (CVE-2021-33574), die deutlich gravierender ist als der ursprüngliche Fehler und erst durch dessen Behebung eingeführt wurde. Hierbei handelt es sich um eine Nullzeiger-Dereferenzierung, die einen Absturz der Bibliothek verursacht, wofür es wohl weniger Voraussetzungen benötigt als für den ursprünglichen Fehler. Der zweite beschriebene Fehler wurde schließlich von Popov behoben. Der Patch dazu steht auch für die aktuelle Version 2.34 von Glibc bereit.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Elektromobilität
BMW gibt sich mit 600 Kilometern Reichweite zufrieden

Reichweite ist für BMW wichtig, aber nicht am wichtigsten. Eine Rekordjagd nach immer mehr Kilometern sehen die Entwickler nicht vor.

Elektromobilität: BMW gibt sich mit 600 Kilometern Reichweite zufrieden
Artikel
  1. Telekom: Vodafone will unseren Glasfaserausbau bremsen
    Telekom
    Vodafone will "unseren Glasfaserausbau bremsen"

    Vodafone habe den eigenen Glasfaserausbau kürzlich für beendet erklärt und nehme den Spaten nicht in die Hand, erklärte die Telekom.

  2. Chorus angespielt: Automatischer Arschtritt im All
    Chorus angespielt
    Automatischer Arschtritt im All

    Knopfdruck, Teleport hinter Feind, Abschuss: Das Weltraumspiel Chorus will mit Story, Grafik und Ideen punkten. Golem.de hat es angespielt.
    Von Peter Steinlechner

  3. Lightning ade: EU will USB-C als alleinige Handy-Ladebuchse vorschreiben
    Lightning ade  
    EU will USB-C als alleinige Handy-Ladebuchse vorschreiben

    Die EU-Kommission will eine einheitliche Ladebuchse einführen. USB-C soll zum Aufladen aller möglichen Kleingeräte verwendet werden.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Asus 27" WQHD 144Hz 260,91€ • Alternate-Deals (u. a. Acer Nitro 27" FHD 159,90€) • Neuer Kindle Paperwhite Signature Edition vorbestellbar 189,99€ • Black Week bei NBB: Bis 50% Rabatt (u. a. MSI 31,5" Curved WQHD 165Hz 350€) • PS5 Digital mit FIFA 22 bei o2 bestellbar [Werbung]
    •  /