Mit der Veröffentlichung von systemd 259 wird die Vorbereitung zur vollständigen Entfernung der Unterstützung für System-V-Skripte vollendet. Zudem unterstützt systemd 259 initial die musl libc.

Kurz notiert: Die GNU C Library (glibc) wurde in Version 2.42 veröffentlicht. Der Fokus lag besonders auf Mathefunktionen aus neueren C-Standards, der Einführung von SFrame und der Entfernung des alten termio.h-Headers. Hier eine Auswahl neuer Features in aller Kürze:

• Neue Mathefunktionen, darunter:
  • Einige Funktionen aus der neuen ISO C23 werden nun von math.h unterstützt. In dieser Version kommen konkret Funktion für Potenzen und absolute Werte hinzu.
  • unsigned Abstandfunktionen wie uabs() werden unterstützt.
  • Neue Funktionen wie tanpif() wurden aus dem CORE-MATH-Projekt eingeführt.
• Die Unterstützung für die SFrame ist neu. Sofern mit den ebenfalls frisch veröffentlichten Binuntils 2.45 und dem Flag --enable-sframe gebaut wird, kann das neue Stack-Frame-Information-Format genutzt werden.
• Auf Linux gibt es nun die Funktion pthread_gettid_np() zum Anzeigen der Kernel Thread ID für einen Thread, siehe auch Diskussion.
• termios.h unterstützt nun beliebige Baud-Raten.
• Der tcache von malloc() unterstützt nun das Caching großer Blöcke.
• Die S390-Architektur erhält Unterstützung für die z17-Plattform.

Folgende Features werden entfernt oder betreffen die Kompatibilität:

• termio.h, das seit POSIX.1 aus 1988 veraltet galt, wird entfernt. termios.h ist der Ersatz.
• glibc.rtld.execstack unterstützt nun einen Kompatibilitätsmodus, mit dem Programme einen ausführbaren Stack mittels dynamisch geladener Bibliotheken anfordern können.
• Unterstützung für die TX Lock Elision von pthread Mutexes ist veraltet und wird im nächsten Release entfernt.
• Auf AArch64 Linux mit der Scalable Matrix Extension werden setjmp() und sigsetjmp() den ZA State von SME deaktivieren.

Darüber hinaus gab es einige Bugfixes, Ergänzungen in der Dokumentation sowie Verbesserungen in der Testsuite.

Alle weiteren Informationen und das vollständige Changelog können der Veröffentlichungsnachricht auf der Liste entnommen werden.

Die Entwicklungsumgebung VSCode liegt in Version 1.86 vor, die auf Linux-Systemen ab sofort die Glibc 2.28 voraussetzt.

Die Qualys Threat Research Unit (TRU) hat vier Schwachstellen in der GNU C Library (Glibc) aufgedeckt.

Es gibt wieder neue Sicherheitslücken in glibc. Dabei betrifft eine die syslog()-Funktion, die andere qsort(). Letztere Lücke existiert dabei seit glibc 1.04 und somit seit 1992. Entdeckt und beschrieben wurden die Lücken von der Threat Research Unit bei Qualys.

Die syslog-Lücke ist ab Version 2.37 seit 2022 enthalten und betrifft somit die eher die neuen Versionen von Linux-Distributionen wie Debian ab Version 12 oder Fedora ab Version 37. Hierbei handelt es sich um einen "heap-based buffer overflow" in Verbindung mit argv[0]. Somit ist zwar der Anwendungsvektor schwieriger auszunutzen, weil in wenigen Szenarien dieses Argument (der Programmname) dem Nutzer direkt überlassen wird, die Auswirkungen sind jedoch umso schwerwiegender. Mit der Lücke wird eine lokale Privilegienausweitung möglich. Die Lücke wird unter den CVE-Nummern 2023-6246, 2023-6779 und 2023-6780 geführt.

Bei der qsort-Lücke ist eine Memory Corruption möglich, da Speichergrenzen an einer Stelle nicht überprüft werden. Hierfür sind allerdings bestimmte Voraussetzungen nötig: die Anwendung muss qsort() mit einer nicht-transitiven Vergleichsfunktion nutzen (die allerdings auch nicht POSIX- und ISO-C-konform wären) und über eine große Menge an zu sortierenden Elementen verfügen, die vom Angreifer bestimmt werden. Dabei kann ein malloc-Aufruf gestört werden, der dann zu weiteren Angriffen führen kann. Das Besondere an dieser Lücke ist ihr Alter, da sie bereits im September 1992 ihren Weg in eine der ersten glibc-Versionen fand.

Bei der GNU C-Bibliothek (glibc) handelt es sich um eine freie Implementierung der C-Standard-Bibliothek. Sie wird seit 1987 entwickelt und ist aktuell in Version 2.38 verfügbar. Morgen, am 1. Februar, erscheint Version 2.39.