Menü
Developer

glibc: Neue Version repariert dramatische Lücke in Linux-Netzwerkfunktionen

Den kritische Fehler, den Angreifer zur Übernahme von Linux-Systemen nutzen konnten, hat das glibc-Team mit Version 2.23 offenbar behoben. Die anderen Änderungen wie Unicode-8-Support stehen im Schatten des Bugfix.

Von
vorlesen Drucken Kommentare lesen 27 Beiträge
gilbc: Neue Version mit Reparatur für kritischen Fehler in Systemfunktion

(Bild: dpa, Oliver Berg)

Kurz nach dem Bekanntwerden des kritischen Fehlers in einer Netzwerkfunktion der GNU C Library (glibc) hat das Team turnusmäßig eine neue Version veröffentlicht. Versteckt hatte sich der Bug in der Systemfunktion getaddrinfo, die Netzwerknamen via DNS auflöst. Angreifer konnten gezielt einen Pufferüberlauf erzeugen, indem sie DNS-Anfragen mit speziellen DNS-Paketen beantworteten. Dazu mussten sie entweder einen eigenen DNS-Server betreiben oder – was deutlich praktikabler ist – die DNS-Anfragen durch eine Man-in-the-Middle-Attacke manipulieren. glibc 2.23 erkennt laut den Release Notes "bestimmte ungültige Antworten" und bricht darauf den Prozess mit einer Fehlermeldung ab.

Bei Version 2.23 handelt es sich jedoch nicht um einen Notfall-Patch, sondern um den turnusmäßigen Release der Bibliothek. Seit 2012 erscheint etwas alle sechs Monate eine neue Version. Auch wenn die Bibliothek für viele Betriebssysteme verfügbar ist, kommt sie vor allem auf Linux-Systemen zum Einsatz – dort ist sie dafür nahezu flächendeckend verbreitet.

Die größte Neuerung der aktuellen Version ist der Unicode-8-Support. Darüber hinaus hat das Team zahlreiche Fehler behoben, darunter einen älteren Bug in der malloc-Implementierung zur Speicherverwaltung. Auch sind einige obsolete Funktionen und Header entfallen, und zum Erstellen der Bibliothek ist der GNU-Compiler in Version 4.7 Minimalvoraussetzung. Alle Änderungen stehen in den Release Notes zu glibc 2.23. (rme)