News Gnome-Desktop gefährdet: Schwachstelle erlaubt Schadcodeausführung unter Linux

coffee4free · 10. Oktober 2023

Eine neu aufgedeckte Schwachstelle in der libcue-Bibliothek gefährdet vor allem jene Linux-Systeme, auf denen die weitverbreitete Desktopumgebung Gnome zum Einsatz kommt. Nur ein einziger falscher Klick im Web kann zur Ausführung von Schadcode führen. Ein Patch ist vorhanden und sollte zeitnah installiert werden.

Zur News: Gnome-Desktop gefährdet: Schwachstelle erlaubt Schadcodeausführung unter Linux

MORPEUS · 10. Oktober 2023

@coffee4free Tolles Titelbild, gefällt mir sehr!

Tenferenzu · 10. Oktober 2023

~~Und ich hab' mich gestern schon gewundert, warum da so viele Updates gekommen sind auf Debian^^~~

Edit: Das war wohl anscheinend ein Frühschuss von mir. Die gepatchte Version wird zum aktuellen Zeitpunkt noch nicht zum Download angeboten. Siehe Kommentar #9.

_casual_ · 10. Oktober 2023

Ja, ist leider auch und gerade Linux nicht davor gefeit. Sehr gruselig, das Video. Schön, dass es direkt gepatcht werden kann

up.whatever · 10. Oktober 2023

Tenferenzu schrieb:
Und ich hab' mich gestern schon gewundert, warum da so viele Updates gekommen sind auf Debian^^

Für die hier beschriebene Lücke gibt es nur ein einziges Update.

Tenferenzu · 10. Oktober 2023

Ich bin mir sicher, dass da mehr zusammengefasst wurde.

NameHere · 10. Oktober 2023

Du hast gestern die 12.2 Updates gekriegt. Auf meiner Testing Installation waren es nur ein paar Pakete gestern.

up.whatever · 10. Oktober 2023

Tenferenzu schrieb:
Ich bin mir sicher, dass da mehr zusammengefasst wurde.

Ähm nein, bei Debian werden keine Sicherheitsupdates zusammen gefasst. Alles ist schön modular und jedes Paket wird separat aktualisiert. Für die hier beschriebene Lücke wird nur das libcue Source Paket angefasst und daraus werden ausschließlich die deb Pakete "libcue-dev" und "libcue2" erzeugt: https://packages.debian.org/source/stable/libcue

@coffee4free: Für mich sieht es ehrlich gesagt danach aus, dass der Patch bisher nur in Ubuntu aber noch nicht in Debian bereitsteht.

Klar, es mag auch Updates für andere Pakete geben. Die stehen aber in keinerlei Zusammenhang zu dieser Meldung.

Tenferenzu · 10. Oktober 2023

up.whatever schrieb:
Klar, es mag auch Updates für andere Pakete geben. Die stehen aber in keinerlei Zusammenhang zu dieser Meldung.

Alles klar, danke für die Korrekur.

NameHere schrieb:
Du hast gestern die 12.2 Updates gekriegt.

Das war der Gedankengang denn ich gestern hatte. Da hat mich die News hier wohl zu einem Fehlschluss geleitet.

Für alle die auch erstmal googlen mussten wie man alle Pakete listet und den Output sortiert..:

Code:

apt list |grep libcue

WARNING: apt does not have a stable CLI interface. Use with caution in scripts.

libcue-dev/stable 2.2.1-4 amd64
libcue2/stable,now 2.2.1-4 amd64  [Installiert,automatisch]

Die -4.1 wäre die gepatchte Version unter Debain 12. Updates werden atuell noch keine angeboten.

Termy · 10. Oktober 2023

Das ist halt generell ein Problem von automatischem Indizieren/Previews erstellen. Wenn in diesen Modulen mal ne Lücke ist, dann braucht diese nur wenig Nutzerinteraktion...

Finde es allerdings hier etwas merkwürdig, dass die Lücke veröffentlicht wird, bevor die Distros zumindest ein paar Tage Zeit zum ausrollen hatten...

coffee4free · 10. Oktober 2023

up.whatever schrieb:
Ähm nein, bei Debian werden keine Sicherheitsupdates zusammen gefasst. Alles ist schön modular und jedes Paket wird separat aktualisiert. Für die hier beschriebene Lücke wird nur das libcue Source Paket angefasst und daraus werden ausschließlich die deb Pakete "libcue-dev" und "libcue2" erzeugt: https://packages.debian.org/source/stable/libcue

@coffee4free: Für mich sieht es ehrlich gesagt danach aus, dass der Patch bisher nur in Ubuntu aber noch nicht in Debian bereitsteht.

Klar, es mag auch Updates für andere Pakete geben. Die stehen aber in keinerlei Zusammenhang zu dieser Meldung.

Stimmt, da steht ja auch noch "vulnerable". 😄 Hab's in der Meldung korrigiert. Danke!

Lora · 10. Oktober 2023

Gnome nutze ich nicht

Shy Bell · 10. Oktober 2023

Ich auch nicht mehr, seitdem es regelmäßig mein System zum Absturz gebracht hat und die Festplatte binnen Sekunden mit GB Logs vollschreibt.
Konsequenterweise hätte ich vermutlich das System neu aufsetzen sollen, aber ich bin mit KDE Plasma sehr glücklich und habe Angst, dass ich etwas falsch mache. (ist meine erste Linuxinstallation)
Ich kann jedenfalls Gnome nichts abgewinnen und mit KDE habe ich nun einen Desktop, bei dem ich im Gegensatz zu Gnome Windows keine Sekunde nachtrauere.

Piktogramm · 10. Oktober 2023

Termy schrieb:
Finde es allerdings hier etwas merkwürdig, dass die Lücke veröffentlicht wird, bevor die Distros zumindest ein paar Tage Zeit zum ausrollen hatten...

Da die verschiedenen Distributionen alle unterschiedliche Prozesse pflegen oder teils gar keine geschlossenen Mailinglisten für Security haben, ist das keinem Maintainer irgend eines Softwareprojekts zuzumuten. Zudem, wenn die Distributionen mit security Channel anfangen die Patches auszurollen fangen die Bösen an die ausgespielten Pakete zu vergleichen und zu schauen was geändert wurde. Mit dem ersten ausgespieltem Paket ist damit das Rennen begonnen Exploits zu bauen. Das dauert oftmals keine 24h, bis dieser Prozess abgeschlossen ist.

Was jedoch etwas merkwürdig ist. Der Commit zum Fix des Bugs ist öffentlich, der Maintainer von libcue hielt es aber nicht für nötig selbst ein Security Release zu veröffentlichen. Das läuft da gerade so schlecht wie beim glibc Bug der letzten Tage. Es gibt keinen Versionssprung, es wird sich darauf verlassen, dass alle Distributionen sehr regelmäßig das Gitrepo ziehen und alle Änderungen aus "Master" sofort builds triggern. Was viele Distributionen aber nicht machen, weil das bei anderen Softwareprojekten wiederrum mehrere Builds am Tag triggern würde.

Arones · 10. Oktober 2023

Das ist tatsächlich mal eine schwerwiegende Lücke wo sich eine News für lohnt wie ich finde und nicht eine der üblichen Rechteerweiterung wenn das System eh schon übernommen ist unter ganz bestimmten umständen.
Sollte man meiner Meinung nach dringend nach schauen und updaten sobald es geht wenn man Gnome verwendet.

bad_sign · 10. Oktober 2023

das Video ist beängstigend 😲

EdwinOdesseiron · 10. Oktober 2023

Gibt aber keine privilege escalation oder? Ich meine mit Userrechten genug Unsinn machen, aber besser als mit root rechten.
Ich bin dann mal Updates installieren.

Tenferenzu · 10. Oktober 2023

Die CVE steht schonmal auf 'Fixed' bei sid. Ich bin mal gespannt wie lange es nun dauert bis das Upate bei den anderen Versionen ankommt.

_roman_ · 10. Oktober 2023

SYSTEMD Frei

Code:

*  media-libs/libcue
      Latest version available: 2.2.1-r1
      Latest version installed: [ Not Installed ]
      Size of files: 24 KiB
      Homepage:      https://github.com/lipnitsk/libcue
      Description:   CUE Sheet Parser Library
      License:       GPL-2

Arones schrieb:
schauen und updaten sobald es geht wenn man Gnome verwendet.

NEIN

Es ist eine Library. Hat man Software, die diese benötigt, hat man Pech.
Das hat mit dem GNOME Desktop genau gar nichts zu tun.

up.whatever · 10. Oktober 2023

_roman_ schrieb:
Hat man Software, die diese benötigt, hat man Pech.
Das hat mit dem GNOME Desktop genau gar nichts zu tun.

Dass der standard Indexer des Gnome Desktops diese Library standardmäßig verwendet hat gar nichts mit dem Gnome Desktop zu tun?

News Gnome-Desktop gefährdet: Schwachstelle erlaubt Schadcodeausführung unter Linux

Redakteur

Commander

Banned

Lieutenant

Commander

Banned

Vice Admiral

Commander

Banned

Commodore

Redakteur

Lieutenant

Lt. Junior Grade

Admiral

Lieutenant

Commodore

Lt. Junior Grade

Banned

Banned

Commander

Ähnliche Themen

Passend zum Thema