image

Belangrijke Linux-update verhelpt ernstig glibc-lek

woensdag 17 februari 2016, 09:51 door Redactie, 22 reacties

Er is een belangrijke update voor Linux uitgekomen die een ernstige kwetsbaarheid in glibc verhelpt, de GNU C-softwarebibliotheek. Het beveiligingslek was door onderzoekers van zowel Google als Red Hat onafhankelijk van elkaar gevonden. Via het lek kan een aanvaller op afstand code op systemen uitvoeren.

Glibc wordt onder andere gebruikt door OpenSSH, curl, wget en sudo. Google laat weten dat de ontwikkelaars van glibc vorig jaar juli al op het probleem waren gewezen. Het probleem zou sinds versie 2.9, die in mei 2008 verscheen, in de software aanwezig zijn. Naast Linux lopen mogelijk ook tal van applicaties risico die van de softwarebibliotheek gebruikmaken.

Inmiddels zijn er voor verschillende Linux-distributies updates verschenen. Vanwege de ernst van de kwetsbaarheid krijgen gebruikers en beheerders het advies om de update zo snel als mogelijk te installeren. Volgens Google zijn er namelijk allerlei manieren om van de kwetsbaarheid gebruik te maken, waaronder ssh, sudo en curl.

Reacties (22)
17-02-2016, 10:00 door Anoniem
Lek in Linux:

https://nl.wikipedia.org/wiki/Contradictio_in_terminis

Ilja. _\\//

(Sorry, couldn't resist.. ;-)
17-02-2016, 11:10 door potshot
nenenenenene,dit is een menselijke fout en totaal begrijpelijk want lynux coders hebben nu eenmaal ook tekortkomingen,in tegenstelling tot microsoft coders want dat zijn allemaal prutsers..
tot zover mijn cynisme...
17-02-2016, 11:41 door Anoniem
Ai. A hole big enought to drive a truck through...

Zo zie je maar, ook het o zo veilige Linux is niet perfect. Benieuwd wanneer de routerfabrikanten met updates komen, want daar zit het grootste risico imho.
17-02-2016, 13:04 door Anoniem
Wanneer je libc update verhelp je ook de potentiele kwetsbaarheden in tools zoals ssh omdat het dynamisch gelinked wordt:

$ ldd /usr/bin/ssh
...
libc.so.6 => /lib64/libc.so.6 (0x00007fa34b468000)
...
17-02-2016, 13:13 door Anoniem
Door Anoniem: Lek in Linux:

https://nl.wikipedia.org/wiki/Contradictio_in_terminis

Ilja. _\\//

(Sorry, couldn't resist.. ;-)

Waar komt deze frustratie vandaan? Is het patchen van de 6 kritieke windows lekken niet helemaal goed gegaan?
Ook Linux bevat fouten. Het is namelijk door mensen gemaakt. De gemeenschap is daar heel transparant over en is daar trots op. De vuile was buiten hangen is niet iedereen gegeven.
17-02-2016, 13:35 door Anoniem
Schrijf 100 keer op:

Elke parser in zijn eigen sandbox.
17-02-2016, 14:41 door Anoniem
LOL @ alle gniffelende Windoos gebruikers hierboven. Updatebeheer gestart, patch geïnstalleerd en alles weer ok, zonder reboots.

Ik heb op m'n laptop een dual boot met Windows, en had Windows al 2 maanden of zo niet opgestart.
-er is een probleem met Windows update waardoor de updates niet kunnen worden geïnstalleerd
-FixIt gerund, die een patch installeerde, reboot.
-Windows update werd bijgewerkt. 'Er zijn meer updates, klik om deze te installeren' '?lik!' De updates kunnen niet worden geïnstalleerd omdat de PC is uitgeschakeld (WTF?)
-maar weer eens een reboot gedaan.
-er zijn Windows updates beschikbaar, wilt u deze installeren? 'Ja' updates worden geïnstalleerd... u moet het systeem opnieuw opstarten, om de Updates af te ronden... 10%...30%...50%...70%...reboot...Sluit de computer niet af, Windows updates worden geïnstalleerd. -er zijn Windows updates beschikbaar, wilt u deze installeren? 'Ja' updates worden geïnstalleerd... u moet het systeem opnieuw opstarten, om de Updates af te ronden... 10%...30%...50%...70%...reboot...Sluit de computer niet af, Windows updates worden geinstalleerd ... 10%...30%...50%...70%..., inloggen. Zo, dat hebben we ook weer gehad. Maar na 5 minuten:
-er zijn Windows updates beschikbaar, wilt u deze installeren? 'Ja' updates worden geïnstalleerd... u moet het systeem opnieuw opstarten, om de Updates af te ronden... 10%...30%...50%...70%...reboot...Sluit de computer niet af, Windows updates worden geïnstalleerd. -er zijn Windows updates beschikbaar, wilt u deze installeren? 'Ja' updates worden geïnstalleerd... u moet het systeem opnieuw opstarten, om de Updates af te ronden... 10%...30%...50%...70%...reboot...Sluit de computer niet af, Windows updates worden geïnstalleerd ... 10%...30%...50%...70%..., inloggen.

Komt het jullie bekend voor, heren en dames Windows fanboy/girl?

Vorig jaar was ik 4 maanden weggeweest en stond mijn Ubuntu MediaPC dus 4 maanden stil. Bij thuiskomst: Aanzetten, melding van updatebeheer:
er zijn updates beschikbaar, wilt u deze nu installeren? Ja. Úploads worden gedownload...updates worden geïnstalleerd. U moet de PC herstarten, herstart nu, herstart later. Klik. Reboot. Binnen 5 minuten was alles bijgewerkt.

Wie zou er het meeste gniffelen, denken jullie?
17-02-2016, 14:45 door Anoniem
Ik zeg, gaan we weer. Er komt een bugje uit van Windows en ja hoor. Je leest direct wie er pro linux is. Er komt een bugje uit in linux en ja hoor. Je leest direct weer wie er pro windows is. Voor mij steeds meer een reden om dit forum te gaan verlaten. Stelletje kleuters die er hier op dit forum rond lopen.
17-02-2016, 15:14 door Anoniem
Door Anoniem: Ai. A hole big enought to drive a truck through...

Zo zie je maar, ook het o zo veilige Linux is niet perfect. Benieuwd wanneer de routerfabrikanten met updates komen, want daar zit het grootste risico imho.

Op mijn Fritz!box zie ik nog geen upates.... :'-(
17-02-2016, 15:50 door Ramon.C
Door Anoniem: Ik zeg, gaan we weer. Er komt een bugje uit van Windows en ja hoor. Je leest direct wie er pro linux is. Er komt een bugje uit in linux en ja hoor. Je leest direct weer wie er pro windows is. Voor mij steeds meer een reden om dit forum te gaan verlaten. Stelletje kleuters die er hier op dit forum rond lopen.

Ze denken allemaal in hokjes tegenwoordig.
links
rechts
moslim
niet-moslim
Linux
Windows
etc..

Ik geniet van beide systemen btw.
17-02-2016, 16:00 door [Account Verwijderd] - Bijgewerkt: 17-02-2016, 16:01
[Verwijderd]
17-02-2016, 16:06 door Anoniem
Het probleem zou sinds versie 2.9, die in mei 2008 verscheen, in de software aanwezig zijn.
En zo zien we maar weer: elke vernieuwing hoeft geen verbetering te zijn.
"Kiejp IT simpul ent stjoepid. "
Dat is al gek genoeg.
17-02-2016, 16:36 door [Account Verwijderd]
[Verwijderd]
17-02-2016, 16:37 door Joep Lunaar
Door MAC-user:Het is m.i. niet glibc maar eglibc waar de kwetsbaarheid in zit.
Het DNS buffermanagement probleem zit in beide libs; eglibc is een embedded variant afgeleid van glibc.
17-02-2016, 17:10 door Joep Lunaar
Zie voor meer (alle) informatie https://sourceware.org/ml/libc-alpha/2016-02/msg00416.html

De impact van het probleem valt waarschijnlijk wel mee.

Ten eerste zijn de meeste systemen die glibc als C library gebruiken up-to-date (via de vrijwel altijd automatische beveiligings updates van de gebruikte distributie. De systemen die in de regel minder of niet worden bijgehouden zoals modems, routers en smartphones, gebruiken meestal een andere C library zoals ulibc of musl (eglibc wordt minder vaak gebruikt.

Ten tweede gebruiken de wel kwetsbare systemen meestal een DNS server van een derde (ISP/Google/OpenDNS/enz) en die servers kunnen de voor een aanval benodigde misvormde DNS responses afvangen.
17-02-2016, 18:19 door [Account Verwijderd] - Bijgewerkt: 17-02-2016, 18:29
[Verwijderd]
17-02-2016, 18:44 door Anoniem
Door Ramon.C:
Door Anoniem: Ik zeg, gaan we weer. Er komt een bugje uit van Windows en ja hoor. Je leest direct wie er pro linux is. Er komt een bugje uit in linux en ja hoor. Je leest direct weer wie er pro windows is. Voor mij steeds meer een reden om dit forum te gaan verlaten. Stelletje kleuters die er hier op dit forum rond lopen.

Ze denken allemaal in hokjes tegenwoordig.
links
rechts
moslim
niet-moslim
Linux
Windows
etc..

Ik geniet van beide systemen btw.

Helemaal mee eens! Het zal de tijdgeest wel zijn, maar ik wordt persoonlijk ook erg moe van dat hele Wij - Zij denken.
17-02-2016, 19:28 door ph-cofi - Bijgewerkt: 17-02-2016, 21:14
https://sourceware.org/ml/libc-alpha/2016-02/msg00416.html
De mate van transparantie van het issue is op eenzaam hoog niveau. Eerst een probleemschets (voor kenners), dan mitigations en ten slotte de sourcecode (voor echte jeweetwels). Resolved today 03.52 UTC in glibc 2.23 (ik zie in verschillende distro's 2.19 en 2.22-9 verschijnen).
Een dergelijke bug kan blijkbaar heel lang mee voordat deze ontdekt is. Of behandeld wordt, wat niet per se een goed teken is.
17-02-2016, 19:33 door Anoniem
Door Anoniem:
Het probleem zou sinds versie 2.9, die in mei 2008 verscheen, in de software aanwezig zijn.
En zo zien we maar weer: elke vernieuwing hoeft geen verbetering te zijn.
"Kiejp IT simpul ent stjoepid. "
Dat is al gek genoeg.

De oorzaak zit in het optimaliseren van support voor IPv6.
Je weet wel, waar de wereld niet op zat te wachten en toch niks mee doet....
17-02-2016, 22:44 door karma4
Door Anoniem:
Door Ramon.C:
Ze denken allemaal in hokjes tegenwoordig.
Helemaal mee eens! Het zal de tijdgeest wel zijn, maar ik wordt persoonlijk ook erg moe van dat hele Wij - Zij denken.
Ook mee eens. Dat hokjesdenken verstoord elke verbetering tot een aanpak om tot betere security te komen.

Een fout in een programma biblotheek is ernstig. Die wordt niet verholpen door een DLL update of de library te updaten http://arstechnica.com/security/2016/02/extremely-severe-bug-leaves-dizzying-number-of-apps-and-devices-vulnerable/ "Some apps that were compiled with a vulnerable version of glibc will have to be recompiled with an updated version of the library, a process that will take time as users wait for fixes to become available from hardware manufacturers and app developers." en
"The widely used secure shell, sudo, and curl utilities are all known to be vulnerable, and researchers warn that the list of other affected apps or code is almost too diverse and numerous to fully enumerate. "
En of het 5 min. geduurd heeft? ik denk nog minder. Klaar en we zijn weer helemaal update.
Wie houdt wie nu voor de gek?
18-02-2016, 10:17 door Anoniem
Door Anoniem: LOL @ alle gniffelende Windoos gebruikers hierboven. Updatebeheer gestart, patch geïnstalleerd en alles weer ok, zonder reboots.

Je verhaal gaat niet helemaal op... Voor een dergelijke update is het verstandig om je Linux systeem te rebooten. libc is gelinkt aan teveel processen om er vanuit te gaan dat na een dergelijke update je systeem de nieuwe gebruikt ipv de oude die nog in het geheugen aanwezig is.
18-02-2016, 16:22 door Anoniem
Door Anoniem:
Door Anoniem: LOL @ alle gniffelende Windoos gebruikers hierboven. Updatebeheer gestart, patch geïnstalleerd en alles weer ok, zonder reboots.

Je verhaal gaat niet helemaal op... Voor een dergelijke update is het verstandig om je Linux systeem te rebooten. libc is gelinkt aan teveel processen om er vanuit te gaan dat na een dergelijke update je systeem de nieuwe gebruikt ipv de oude die nog in het geheugen aanwezig is.

I stand corrected... :-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.