Security: Glibc-Bugfix machte Lücke einfacher ausnutzbar

Das Beheben von Sicherheitslücken ist nicht immer so einfach, wie es anfangs scheint, was nun auch das Team der Glibc erfahren musste.

Artikel veröffentlicht am ,
Glibc stammt ursprünglich aus dem GNU-Projekt, agiert inzwischen aber unabhängig.
Glibc stammt ursprünglich aus dem GNU-Projekt, agiert inzwischen aber unabhängig. (Bild: JOHN THYS/AFP via Getty Images)

Das Sicherheitsteam von Tuxcare, die zu dem Linux-Distributor Cloudlinux gehören, hat einen eher ungewöhnlichen Fehler in der GNU Standard-C-Bibliothek (Glibc) gefunden und behoben. Dieser Fehler konnte relativ einfach einen sogenannten Segmentation Fault und damit einen Absturz der Bibliothek verursachen. Kurios daran ist, dass der Fehler erst durch einen vorhergehenden Bugfix überhaupt eingeführt wurde, wie das Magazin ZDNet schreibt.

Stellenmarkt
  1. Consultant Digital Transformation (m/w/d) Schwerpunkte IT, Industrie und Engineering
    THOST Projektmanagement GmbH, Freiburg im Breisgau, München, Memmingen, Stuttgart, Mannheim
  2. SAP IS-Retail Berater Job (m/w/x) mit Fokus SAP SD/MM Stammdaten, Konditionen & Aktionen
    über duerenhoff GmbH, Raum Mannheim
Detailsuche

Bei dem ursprünglichen Fehler (CVE-2021-33574) handelte es sich noch um eine Lücke mit vergleichsweise hohen Hürden und auch geringeren Auswirkungen. Im dazugehörigen Bug-Report schrieb der Red-Hat-Entwickler Siddhesh Poyarekar, dass es sehr viele Voraussetzungen brauche, um auch nur einen minimalen Angriff durchzuführen, bei dem eine Anwendung zum Absturz gebracht werden kann.

Dieser Fehler, ein Use-after-Free-Bug in den Versionen 2.32 und 2.33, ist dann natürlich behoben worden. Das Tuxcare-Team untersuchte dabei im Rahmen seiner Arbeit nicht nur, ob die von ihnen betreuten Distributionen betroffen sind, sondern betrachtete auch den konkreten Fehler und den Bugfix näher.

Linux: Das umfassende Handbuch von Michael Kofler. Für alle aktuellen Distributionen (Desktop und Server) (Deutsch)

Dabei entdeckte der Entwickler Nikita Popov eine weitere Lücke (CVE-2021-33574), die deutlich gravierender ist als der ursprüngliche Fehler und erst durch dessen Behebung eingeführt wurde. Hierbei handelt es sich um eine Nullzeiger-Dereferenzierung, die einen Absturz der Bibliothek verursacht, wofür es wohl weniger Voraussetzungen benötigt als für den ursprünglichen Fehler. Der zweite beschriebene Fehler wurde schließlich von Popov behoben. Der Patch dazu steht auch für die aktuelle Version 2.34 von Glibc bereit.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Framework Laptop 2 im Test
In zehn Minuten zum neuen Prozessor im Notebook

Der Framework Laptop 2 bringt Intels bessere Alder-Lake-Chips. Statt neu zu kaufen, können wir unseren alten Laptop auch einfach aufrüsten.
Ein Test von Oliver Nickel

Framework Laptop 2 im Test: In zehn Minuten zum neuen Prozessor im Notebook
Artikel
  1. Rollerhersteller: Niu setzt auf Natrium-Ionen-Akkus
    Rollerhersteller
    Niu setzt auf Natrium-Ionen-Akkus

    Niu will im kommenden Jahr ein Zweirad mit Natrium-Ionen-Akku auf den Markt bringen. Grund sind die steigenden Preise für Lithium-Akkus.

  2. bZ4X: Toyota bietet Rückkauf seiner zurückgerufenen E-Autos an
    bZ4X
    Toyota bietet Rückkauf seiner zurückgerufenen E-Autos an

    Toyota bietet Kunden den Rückkauf seiner Elektro-SUVs an, nachdem diese im Juni wegen loser Radnabenschrauben zurückgerufen wurden.

  3. Vom Anfänger zum Profi: Was macht einen Senior-Entwickler aus?
    Vom Anfänger zum Profi
    Was macht einen Senior-Entwickler aus?

    Zeit allein macht einen Juniorentwickler nicht zu einem Senior. Wir geben Tipps für den Aufstieg.
    Ein Ratgebertext von Rene Koch

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MindStar (Gainward RTX 3070 559€, ASRock RX 6800 639€) • WD Black SSD 2TB m. Kühlkörper (PS5-komp.) 219,90€ • Gigabyte Deals • Alternate (DeepCool Wakü 114,90€, PC-Netzteil 79,90€) • AOC GM200 6,29€ • be quiet! Deals • SSV bei Saturn (u. a. WD_BLACK SN850 1TB 119€) [Werbung]
    •  /