Die Entwicklungsumgebung VSCode liegt in Version 1.86 vor, die auf Linux-Systemen ab sofort die Glibc 2.28 voraussetzt.

Die Qualys Threat Research Unit (TRU) hat vier Schwachstellen in der GNU C Library (Glibc) aufgedeckt.

Es gibt wieder neue Sicherheitslücken in glibc. Dabei betrifft eine die syslog()-Funktion, die andere qsort(). Letztere Lücke existiert dabei seit glibc 1.04 und somit seit 1992. Entdeckt und beschrieben wurden die Lücken von der Threat Research Unit bei Qualys.

Die syslog-Lücke ist ab Version 2.37 seit 2022 enthalten und betrifft somit die eher die neuen Versionen von Linux-Distributionen wie Debian ab Version 12 oder Fedora ab Version 37. Hierbei handelt es sich um einen "heap-based buffer overflow" in Verbindung mit argv[0]. Somit ist zwar der Anwendungsvektor schwieriger auszunutzen, weil in wenigen Szenarien dieses Argument (der Programmname) dem Nutzer direkt überlassen wird, die Auswirkungen sind jedoch umso schwerwiegender. Mit der Lücke wird eine lokale Privilegienausweitung möglich. Die Lücke wird unter den CVE-Nummern 2023-6246, 2023-6779 und 2023-6780 geführt.

Bei der qsort-Lücke ist eine Memory Corruption möglich, da Speichergrenzen an einer Stelle nicht überprüft werden. Hierfür sind allerdings bestimmte Voraussetzungen nötig: die Anwendung muss qsort() mit einer nicht-transitiven Vergleichsfunktion nutzen (die allerdings auch nicht POSIX- und ISO-C-konform wären) und über eine große Menge an zu sortierenden Elementen verfügen, die vom Angreifer bestimmt werden. Dabei kann ein malloc-Aufruf gestört werden, der dann zu weiteren Angriffen führen kann. Das Besondere an dieser Lücke ist ihr Alter, da sie bereits im September 1992 ihren Weg in eine der ersten glibc-Versionen fand.

Bei der GNU C-Bibliothek (glibc) handelt es sich um eine freie Implementierung der C-Standard-Bibliothek. Sie wird seit 1987 entwickelt und ist aktuell in Version 2.38 verfügbar. Morgen, am 1. Februar, erscheint Version 2.39.

Im dynamische Lader der GNU C-Bibliothek (Glibc) steckt eine Schwachstelle, die sich lokal ausnutzen lässt, um sich Root-Rechte zu verschaffen.

Aufgedeckt haben die Schwachstelle die Experten von Qualys. Deren Meldung zufolge besteht die Sicherheitslücke in einem Pufferüberlauf in der Verarbeitung der Umgebungsvariablen GLIBC_TUNABLES durch den dynamischen Lader. Diese Sicherheitslücke sei bereits im April 2021 (Glibc 2.34) durch Commit 2ed18c eingeführt worden, heißt es weiter.

Der dynamic Loader von Glibc finde und lade shared libraries, die von einem Programm benötigt werden, bereite das Programm zur Ausführung vor und führt es dann aus, berichten die Experten. Der dynamische Lader sei extrem sicherheitsrelevant, da sein Code mit erhöhten Rechten ausgeführt werde, wenn ein lokaler Benutzer etwa ein Programm mit gesetzter Benutzer-ID ausführe.

Den Forschern ist es gelungen, die Sicherheitslücke erfolgreich auszunutzen und volle Root-Rechte auf den Standardinstallationen von Fedora 37 und 38, Ubuntu 22.04 und 23.04, Debian 12 und 13 zu erlangen. Andere Distributionen seien wahrscheinlich auch anfällig. Eine Ausnahme stelle Alpine Linux dar, das Musl Libc verwende und nicht die Glibc.

Die Experten wollen laut der Meldung den Exploit vorerst nicht veröffentlichen. Die Distributionen haben begonnen, Updates bereitzustellen.

Der Beitrag Schwachstelle in Glibc ermöglicht Root-Rechte erschien zuerst auf Linux-Magazin.

Die Linux From Scratch-Community gibt die Veröffentlichung der Version 12.0 des Linux-Bausatzsystems bekannt.

Zu den wichtigsten Änderungen von Linux from Scratch (LFS) in Version 12 gehören Aktualisierungen der Toolchain für Binutils-2.41, GCC-13.2.0 und Glibc-2.38. Insgesamt wurden 38 Pakete seit der letzten Veröffentlichung aktualisiert und es gab umfangreiche Aktualisierungen des Textes im gesamten Buch, um die Lesbarkeit zu verbessern, teilen die Entwickler mit. Der Linux-Kernel sei auf die Version 6.4.12 aktualisiert worden.

Weitere wichtige Änderungen sind laut den Machern das Hinzufügen von Libxcrypt als separates Paket. Zuvor war dieses in der Glibc enthalten. Für die sysV-Version des Buches wird Udev nun direkt aus dem Systemd-Tarball extrahiert, heißt es weiter. Diese Änderung erfordere auch die Erstellung der Python-Module jinja und markupsafe.

Insgesamt gab es 234 Änderungen an LFS seit der letzten stabilen Version des Buches. Die Anleitung lässt sich online lesen oder lokal herunterladen.

Der Beitrag Linux from Scratch in Version 12 erschien zuerst auf Linux-Magazin.

Mit dem für September erwarteten Release 1.64.0 steigen die Anforderungen der Programmiersprache Rust an die Glibc und den Linux-Kernel.

Die Glibc für Rust-Toolchains, die auf Linux ausgerichtet sind, muss dann mindestens in Version 2.17 vorliegen, bislang genügte eine Version ab 2.11. Der Kernel ist ab Version 3.2 einsatzfähig, bislang war Version 2.6.32 und höher ausreichend.

Wie das Rust-Team mitteilt, gelten diese Anforderungen dann für das Ausführen des Rust-Compilers selbst, nebst anderer Rust-Werkzeuge wie Cargo oder Rustup und auch für das Ausführen von Binärdateien, die von Rust erzeugt wurden, wenn sie die libstd verwenden.

Betroffen von diesen veränderten Voraussetzungen sollten nach Meinung der Entwickler nur Anwender mit einer sehr betagten LTS-Version von Linux sein oder auch Anwender von Embedded-Hardware, die eine alte Linux-Version an Bord hat. Immerhin seien die Glibc- und Kernel-Versionen, die für die neuen Basisanforderungen verwendet werden, schon fast ein Jahrzehnt alt.

Der Beitrag Rust mit (etwas) höheren Anforderungen an Glibc und Linux-Kernel erschien zuerst auf Linux-Magazin.

Mit der Aufnahme der Funktionen arc4random, arc4random_buf und arc4random_uniform in die GNU C Library (Glibc) könnte nun auch unter Linux eine höhere Qualität der Zufallszahlengenerierung erreicht werden, als mit rand/random und sonstigen Funktionen.

Was unter BSD schon seit Jahren im Einsatz ist, kommt nun auch unter Linux zum Zuge. Der Aufnahme in die Glibc ist ein langer Prozess vorangegangen.Bereits im Jahr 2007 gab es Bemühungen, die Arc4random-Funktionen in die Glibc zu bekommen. Damals wurde dieses Ansinnen abgelehnt. Glibc sei keine Müllhalde für beliebigen Code, hieß es damals schroff.

Schließlich machte sich ein Red-Hat-Entwickler vor einigen Jahren an die Arbeit an arc4random für Glibc und hatte nun Erfolg mit der Aufnahme.

Im entsprechenden Commit heißt es: Die Implementierung basiert auf skalarem Chacha20 mit Cache pro Thread. Sie verwendet getrandom oder /dev/urandom als Fallback, um die anfängliche Entropie zu erhalten, und füllt den internen Zustand alle 16 MB des verbrauchten Puffers neu auf.

Der Beitrag GNU C Library bekommt Support für Arc4random-Funktionen erschien zuerst auf Linux-Magazin.

Die neue Version der Distribution KaOS  hebt nicht nur die Desktop-Umgebung, sondern zahlreiche weitere Softwarepakete auf neue Versionen. Die meisten Neuerungen liegen dabei jedoch unter der Haube.

Den Unterbau bilden die Glibc 2.35, die Binutils 2.38, Systemd 250.7 und der Linux-Kernel 5.17.15. Entwickler erhalten die GCC 11.3.0. Der Installationsassistent Calamares meldet sich bereits in Version 3.3, die allerdings noch gar nicht offiziell verfügbar ist. Aufgrund der bereits enthaltenen Verbesserungen haben sich die KaOS-Entwickler dennoch für eine Aufnahme in ihre Distribution entschieden. Während der Installation können sich die wartenden Anwender wahlweise mit Infotafeln über die Distribution informieren oder Calamares bei der Arbeit zuschauen.

Auf frisch installierten Systemen meldet sich der Willkommens-Bildschirm Croeso. In ihm kann man direkt 15 besonders wichtige Einstellung anpassen. Darüber hinaus lassen sich über ihn weitere Anwendungen hinzuholen.

Die größte sichtbare Neuerung stellt die Desktop-Umgebung KDE Plasma dar, die in der brandneuen Version 5.25 beiliegt. Die Optik bestimmt dabei das Theme Midna, das die KaOS-Entwickler leicht überarbeitet haben. Mit an Bord ist die Programmsammlung KDE Gear in Version 22.04.2. Die Bildschirmtastatur integriert sich zudem besser in den Login- und Sperrbildschirm.

Für Nutzer von älteren Nvidia-Karten liegt jetzt auf dem ISO-Image auch der proprietäre Grafikkartentreiber der Versionsreihe 470.xx mit Long Term Support bei. Dieser Schritt war notwendig geworden, da der Treiber der Reihe 495 nicht die Grafikkarten mit Kepler-Chip unterstützt. Sämtliche Neuerungen listet die offizielle Ankündigung auf.

Der Beitrag KaOS 2022.06 kommt mit KDE Plasma 5.25 erschien zuerst auf Linux-Magazin.