Sicherheitslücke in glibc betrifft auch Raspbian

Heute ist Stammtischzeit:
Jeden Donnerstag 20:30 Uhr hier im Chat.
Wer Lust hat, kann sich gerne beteiligen. ;)
  • Zitat

    Wieder ist eine als von den Herstellen als kritisch eingestufte Sicherheitslücke aufgetaucht, dieses mal ist die glibc betroffen. Für Raspbian bzw. Debian Wheezy ist leider noch Sicherheitsupdate veröffentlicht.

    Heise.de Berichtet

    Eine fast 15 Jahre alte Lücke, die eigentlich 2013 geschlossen wurde, ist zurück und spukt vor allem auf Linux-Servern herum. Angreifer können hier über bösartige DNS-Antworten unter bestimmten Umständen Code ausführen.

    Eine Sicherheitslücke in der Standard-C-Bibliothek Glibc geistert gerade durch Nachrichtenfeeds und soziale Netze (CVE-2015-0235). Die Lücke wurde von ihren Entdeckern bei der Firma Qualys auf den Namen Ghost getauft, da sie in der Funktion gethostbyname() auftritt. Die Lücke wird von Qualys als “ernstes Risiko” beschrieben, Linux-Distributor Red Hat schätzt sie als “kritisch” ein. Betroffen sind allerdings nur eine begrenzte Anzahl von Programmen und Linux-Distributionen, die ihre Pakete eher konservativ auswählen und auf ältere Software setzen. Daraus folgt, dass eigentlich nur Server-Systeme angreifbar sein dürften. Betroffene Distributionen arbeiten an Updates oder haben diese schon verteilt. […]

    http://raspberry.tips/raspberrypi-ne…auch-betroffen/

    http://raspberry.tips
    Infos, Projekte und Tutorials rund um den Raspberry pi

    Einmal editiert, zuletzt von at2oo1 (28. Januar 2015 um 13:51)

  • Wie es in der Beschreibung aber bereits erwähnt wird, betrifft das nur eine begrenzte Anzahl an Programmen - und kommt nur zur Geltung wenn der Linux-Rechner übers Internet angesprochen werden kann.

    Dazu sei vielleicht auch noch erwähnt das dies nur Raspbian 7 betrifft, also Wheezy. Bei Raspbian 8 (Jessie) wurde bereits ein Fix herausgegeben. Denn beim Unstable Jessie muss nicht wirklich drauf geachtet werden ob der Patch Stable is :lol:
    Debian-testing und Debian-unstable wurden also bereits gefixt.

    Wer heausfinden möchte welche Version er installiert hat:

    Code
    dpkg -l | grep libc6

    Der Bug wurde mit mind. Version 2.18-1 behoben, um so höher um so besser ;)


    Zitat

    Ob die Lücke in einzelnen Applikationen ausnutzbar ist, hängt von einigen Details ab. Eigentlich ist die Funktion gethostbyname() veraltet, aktuelle Applikationen sollten die Funktion getaddrinfo() nutzen, die nicht betroffen ist.
    Viele Programme nutzen außerdem gethostbyname() nur, wenn vorher ein Aufruf der Funktion inet_aton() fehlschlägt. In dem Fall ist das Problem ebenfalls nicht ausnutzbar. Trotz dieser Einschränkungen fanden die Qualys-Entwickler mehrere Programme, die verwundbar sind, neben dem Mailserver Exim beispielsweise auch das Mailfiltersystem procmail.

    Viele Linux-Distributionen nutzen in ihrer Standardausführung jedoch ältere Glibc-Versionen. Die aktuelle stabile Debian-Version Wheezy (7.0) etwa kommt mit Glibc 2.13, die aktuelle Version 7 von Red Hat Enterprise nutzt Glibc 2.17. Die Distributionen portieren üblicherweise nur besonders gravierende und sicherheitskritische Patches aus dem aktuellen Glibc-Entwicklungszweig. Da bei diesem Fehler zunächst nicht erkannt wurde, dass es sich um einen kritischen Fehler handelt, sind auch aktuelle Versionen dieser Distributionen betroffen.

    quelle

  • Bei mir wird trotz update/upgrade folgendes angezeigt:

    Code
    pi@raspberrypi ~ $ dpkg -l | grep libc6
    ii  libc6:armhf                           2.13-38+rpi2+deb7u7                     armhf        Embedded GNU C Library: Shared libraries
    ii  libc6-dev:armhf                       2.13-38+rpi2+deb7u7                     armhf        Embedded GNU C Library: Development Libraries and Header Files

    Auch ein "sudo apt-get dist-upgrade" bringt keine Änderung.
    Ist es ohne Neuinstallation möglich, auf die von Dir erwähnte 2.18-1 zu kommen? Wenn ja, wie?


  • meigrafd Wieso "Version 2.18-1" ? :s

    Das hab ich aufgrund der Auflistung angenommen: https://security-tracker.debian.org/tracker/CVE-2015-0235

    Aber du hast Recht, 2.13-38+deb7u7 ist die gefixte Version.

    Allerdings habe ich trotz update&upgrade auch noch die 2.13-38+rpi2+deb7u6 installiert - zumindest war das vorhin noch der Fall ... mittlerweile scheint das Update aber verfügbar zu sein!

  • Komisch.

    Bei mir war das Update heute morgen schon verfügbar:

    Code
    $ tail /var/log/apt/history.log
    Spoiler anzeigen


    ...
    Start-Date: 2015-01-28 07:37:46
    Commandline: apt-get upgrade -y
    Upgrade: libc-bin:armhf (2.13-38+rpi2+deb7u6, 2.13-38+rpi2+deb7u7), libc-dev-bin:armhf (2.13-38+rpi2+deb7u6, 2.13-38+rpi2+deb7u7), libwsutil2:armhf (1.8.2-5wheezy13, 1.8.2-5wheezy14), locales:armhf (2.13-38+rpi2+deb7u6, 2.13-38+rpi2+deb7u7), libwireshark-data:armhf (1.8.2-5wheezy13, 1.8.2-5wheezy14), multiarch-support:armhf (2.13-38+rpi2+deb7u6, 2.13-38+rpi2+deb7u7), wireshark:armhf (1.8.2-5wheezy13, 1.8.2-5wheezy14), libc6-dev:armhf (2.13-38+rpi2+deb7u6, 2.13-38+rpi2+deb7u7), libwireshark2:armhf (1.8.2-5wheezy13, 1.8.2-5wheezy14), libwiretap2:armhf (1.8.2-5wheezy13, 1.8.2-5wheezy14), libc6:armhf (2.13-38+rpi2+deb7u6, 2.13-38+rpi2+deb7u7), wireshark-common:armhf (1.8.2-5wheezy13, 1.8.2-5wheezy14)
    End-Date: 2015-01-28 07:42:04

    Und müsste aus diesem Repository sein:

    Code
    deb http://archive.raspbian.org/raspbian/ wheezy main contrib non-free

    DON'T PANIC!

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!