Es gibt wieder neue Sicherheitslücken in glibc. Dabei betrifft eine die syslog()-Funktion, die andere qsort(). Letztere Lücke existiert dabei seit glibc 1.04 und somit seit 1992. Entdeckt und beschrieben wurden die Lücken von der Threat Research Unit bei Qualys.

Die syslog-Lücke ist ab Version 2.37 seit 2022 enthalten und betrifft somit die eher die neuen Versionen von Linux-Distributionen wie Debian ab Version 12 oder Fedora ab Version 37. Hierbei handelt es sich um einen "heap-based buffer overflow" in Verbindung mit argv[0]. Somit ist zwar der Anwendungsvektor schwieriger auszunutzen, weil in wenigen Szenarien dieses Argument (der Programmname) dem Nutzer direkt überlassen wird, die Auswirkungen sind jedoch umso schwerwiegender. Mit der Lücke wird eine lokale Privilegienausweitung möglich. Die Lücke wird unter den CVE-Nummern 2023-6246, 2023-6779 und 2023-6780 geführt.

Bei der qsort-Lücke ist eine Memory Corruption möglich, da Speichergrenzen an einer Stelle nicht überprüft werden. Hierfür sind allerdings bestimmte Voraussetzungen nötig: die Anwendung muss qsort() mit einer nicht-transitiven Vergleichsfunktion nutzen (die allerdings auch nicht POSIX- und ISO-C-konform wären) und über eine große Menge an zu sortierenden Elementen verfügen, die vom Angreifer bestimmt werden. Dabei kann ein malloc-Aufruf gestört werden, der dann zu weiteren Angriffen führen kann. Das Besondere an dieser Lücke ist ihr Alter, da sie bereits im September 1992 ihren Weg in eine der ersten glibc-Versionen fand.

Bei der GNU C-Bibliothek (glibc) handelt es sich um eine freie Implementierung der C-Standard-Bibliothek. Sie wird seit 1987 entwickelt und ist aktuell in Version 2.38 verfügbar. Morgen, am 1. Februar, erscheint Version 2.39.

Nach LibreOffice 7.6 folgt LibreOffice 24.2 Community als neue Hauptversion. Es ist die erste Version mit dem neuen Nummerierungsschema (YY.M) verwendet. Natürlich gibt es Neuerungen und Änderungen, die alle in den Veröffentlichungshinweisen im Detail beschrieben sind. Insgesamt haben 166 Personen zu den neuen Funktionen von LibreOffice 24.2 Community beigetragen: 57 % der Code Commits stammen von den 50 Entwicklern, die bei den drei Unternehmen im TDF Advisory Board – Collabora, allotropia und Red Hat – oder anderen Organisationen beschäftigt sind. […]

Der Beitrag LibreOffice 24.2 Community ist veröffentlicht ist von bitblokes.de.

Ab sofort gibt es die spezielle Linux-Distribution Tails 5.22 (The Amnesic Incognito Live System) mit neuen Funktionen. Beim Tor Browser kannst Du ab sofort Dateien in mehr Ordnern speichern. Das sind: Dokumente, Downloads, Musik, Bilder und Videos. Zudem kannst Du Dateien auch aus diesen Ordnern hochladen. Das ist eine ziemliche Erleichterung, muss ich zugeben. Bisher musste ich Dateien immer jonglieren und an einen Ort kopieren oder verschieben, den ich mit Tor Browser benutzen konnte. Das war mitunter ganz schön nervig. […]

Der Beitrag Tails 5.22 mit neuen Funktionen – sämtlicher Traffic durch Tor ist von bitblokes.de.