Sicherheitslücken in der GNU C Library

Die Qualys Threat Research Unit (TRU) hat vier Schwachstellen in der GNU C Library (Glibc) aufgedeckt. Die Bibliothek zählt zu den Kernkomponenten von unzähligen Anwendungen in der Linux-Umgebung.

Die in den Glibc-Funktionen syslog und qsort festgestellten Schwachstellen verdeutlichen einen kritischen Aspekt der Softwaresicherheit: Selbst die grundlegendsten und vertrauenswürdigsten Komponenten sind nicht vor Fehlern gefeit.

Für die kritischste Schwachstelle (CVE-2023-6246) wurde von TRU eine kritische Sicherheitslücke in der Funktion “vsyslog_internal()” der GNU C Library identifiziert, die “syslog()” und “vsyslog()” betrifft. Diese Heap-basierte Pufferüberlauf-Schwachstelle wurde versehentlich in Glibc 2.37 (August 2022) eingeführt und anschließend in Glibc 2.36 zurückportiert, während eine andere, weniger schwerwiegende Schwachstelle (CVE-2022-39046) behoben wurde, heißt es im Beitrag der Experten. Große Linux-Distributionen wie Debian (Versionen 12 und 13), Ubuntu (23.04 und 23.10) und Fedora (37 bis 39) seien nachweislich verwundbar. Der Fehler erlaube eine lokale Privilegienerweiterung, die es einem unprivilegierten Benutzer ermögliche, vollen Root-Zugriff zu erlangen.

Einer weitere Sicherheitslücke betreffe einen gefährlichen Fehler in der Glibc-Funktion “qsort()”. Dieses Problem entsteht durch eine fehlende Überprüfung der Grenzen, was zu einer Beschädigung des Speichers führt. Damit eine Anwendung verwundbar ist, muss sie die “qsort()”-Funktion mit einem bestimmten Satz von Kriterien verwenden. Dieses Szenario könnte dann zu einem “malloc()”-Fehler innerhalb von “qsort()” führen und damit die Tür für einen Missbrauch öffnen.

Es wurden jedoch keine Exploits für diese Lücke gefunden, berichten die Experten. Das Problem betreffe alle Versionen der Glibc von September 1992 (Version 1.04) bis zur neuesten Version (Version 2.38). Die Glibc-Entwickler hätten das Problem aber bereits in einem kürzlich erschienenen Update beseitigt. Weitere Informationen liefert der Beitrag von TRU.

E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben