Security: Glibc-Bugfix machte Lücke einfacher ausnutzbar

Das Beheben von Sicherheitslücken ist nicht immer so einfach, wie es anfangs scheint, was nun auch das Team der Glibc erfahren musste.

Artikel veröffentlicht am ,
Glibc stammt ursprünglich aus dem GNU-Projekt, agiert inzwischen aber unabhängig.
Glibc stammt ursprünglich aus dem GNU-Projekt, agiert inzwischen aber unabhängig. (Bild: JOHN THYS/AFP via Getty Images)

Das Sicherheitsteam von Tuxcare, die zu dem Linux-Distributor Cloudlinux gehören, hat einen eher ungewöhnlichen Fehler in der GNU Standard-C-Bibliothek (Glibc) gefunden und behoben. Dieser Fehler konnte relativ einfach einen sogenannten Segmentation Fault und damit einen Absturz der Bibliothek verursachen. Kurios daran ist, dass der Fehler erst durch einen vorhergehenden Bugfix überhaupt eingeführt wurde, wie das Magazin ZDNet schreibt.

Stellenmarkt
  1. Automation Engineer (m/w/d)
    Packsize GmbH, deutschlandweit (Home-Office)
  2. Developer / EntwicklerIn EdTech (Backend & Frontend) (w/m/d)
    NE GmbH | Brockhaus, München
Detailsuche

Bei dem ursprünglichen Fehler (CVE-2021-33574) handelte es sich noch um eine Lücke mit vergleichsweise hohen Hürden und auch geringeren Auswirkungen. Im dazugehörigen Bug-Report schrieb der Red-Hat-Entwickler Siddhesh Poyarekar, dass es sehr viele Voraussetzungen brauche, um auch nur einen minimalen Angriff durchzuführen, bei dem eine Anwendung zum Absturz gebracht werden kann.

Dieser Fehler, ein Use-after-Free-Bug in den Versionen 2.32 und 2.33, ist dann natürlich behoben worden. Das Tuxcare-Team untersuchte dabei im Rahmen seiner Arbeit nicht nur, ob die von ihnen betreuten Distributionen betroffen sind, sondern betrachtete auch den konkreten Fehler und den Bugfix näher.

Linux: Das umfassende Handbuch von Michael Kofler. Für alle aktuellen Distributionen (Desktop und Server) (Deutsch)

Dabei entdeckte der Entwickler Nikita Popov eine weitere Lücke (CVE-2021-33574), die deutlich gravierender ist als der ursprüngliche Fehler und erst durch dessen Behebung eingeführt wurde. Hierbei handelt es sich um eine Nullzeiger-Dereferenzierung, die einen Absturz der Bibliothek verursacht, wofür es wohl weniger Voraussetzungen benötigt als für den ursprünglichen Fehler. Der zweite beschriebene Fehler wurde schließlich von Popov behoben. Der Patch dazu steht auch für die aktuelle Version 2.34 von Glibc bereit.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Die große Umfrage
Das sind Deutschlands beste IT-Arbeitgeber 2023

Golem.de und Statista haben 23.000 Fachkräfte nach ihrer Arbeit gefragt. Das Ergebnis ist eine Liste der 175 besten Unternehmen für IT-Profis.

Die große Umfrage: Das sind Deutschlands beste IT-Arbeitgeber 2023
Artikel
  1. USB-C: Europaparlament macht Weg für einheitliche Ladekabel frei
    USB-C
    Europaparlament macht Weg für einheitliche Ladekabel frei

    In der EU gibt es künftig eine Standard-Ladebuchse für Smartphones und weitere Elektrogeräte. Die IT-Wirtschaft sieht die Einigung kritisch.

  2. Monitoring von Container-Landschaften: Prometheus ist nicht alles
    Monitoring von Container-Landschaften
    Prometheus ist nicht alles

    Betreuer von Kubernetes und Co., die sich nicht ausreichend mit der Thematik beschäftigen, nehmen beim metrikbasierte Monitoring unwissentlich einige Nachteile in Kauf. Eventuell ist es notwendig, den üblichen Tool-Stack zu ergänzen.
    Von Valentin Höbel

  3. Philips Hue mit über 100 Euro Rabatt bei Amazon
     
    Philips Hue mit über 100 Euro Rabatt bei Amazon

    Viele verschiedene Produkte von Philips Hue sind bei Amazon im Angebot. Darunter Deckenleuchten, Leuchtmittel und Bewegungssensoren.
    Ausgewählte Angebote des E-Commerce-Teams

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • 3 Spiele für 49€ • Saturn Gutscheinheft • Günstig wie nie: LG OLED 48" 799€, Xbox Elite Controller 2 114,99€, AOC 28" 4K UHD 144 Hz 600,89€, Corsair RGB Midi-Tower 269,90€, Sandisk microSDXC 512GB 39€ • Bis zu 15% im eBay Restore • MindStar (PowerColor RX 6700 XT 489€) [Werbung]
    •  /