News Schwachstelle in C-Bibliothek: Looney Tunables gefährdet zahlreiche Linux-Systeme
Ja. Vor allem wenn das Ökosystem langsam vor sich hin gew...achsen ist. Früher waren Pufferüberläufe ärgerlich, allerdings jetzt nix, was alle alarmiert hat. Das kam dann erst, als jemand diese dann für Exploits genutzt hat.Mickey Cohen schrieb:
Und C will halt, dass man seinen eigenen Scheiß im Griff hat. Schließlich macht man seine eigene Speicherverwaltung. Mit allem was dazu gehört.
So ein Speicherüberlauf ist da schnell mal übersehen.
Andererseits spricht es für die Bibliothek, dass so ein Bug überhaupt gefunden und dann auch sehr schnell gefixt wird. Obendrein wurde erst jetz mal wieder ein Bug gefunden. Auch das spricht für eine sehr stabile und ausgereifte Lib.
Erinnert mich so ein bischen an Log4j. Das steckte auch fast überall drin.
Ergänzung ()
Klingt als wäre sie stable, also zuverlässig. Das ist schlecht.SSD960 schrieb:
flaphoschi
Lt. Commander
- Registriert
- Jan. 2018
- Beiträge
- 1.458
Auch AUR.Termy schrieb:Vermutlich
Oh ja - ich betreue nur ein paar AUR-Pakete und das reicht mir auch schon
Das aufwendigste bei Patches ist nicht der Code. Die passenden Übersetzungen sind es.
Piktogramm
Admiral
- Registriert
- Okt. 2008
- Beiträge
- 8.862
Fehlannahmen sind schnell gemacht.Mickey Cohen schrieb:
Und aus eigener Erfahrung, jenachdem wo man das lernt bzw. bei wem wird man dafür überhaupt nicht sensibilisiert. Da fallen also ausreichend Leute, die mitunter nichtmal wissen, dass da grundlegend Wissen fehlt.
ReactivateMe347
Lieutenant
- Registriert
- Dez. 2018
- Beiträge
- 1.016
Mir fehlt hier eine Info, was der Angreifer damit erreichen kann. Ist das ein lokaler Nutzer zu root Exploit?
- Registriert
- Okt. 2015
- Beiträge
- 269
Artikel-Update: Wie aus einem Bericht von Bleeping Computer hervorgeht, haben andere Sicherheitsforscher inzwischen erste Exploits für Looney Tunables veröffentlicht. Einer davon stammt von dem Niederländer Peter Geissler, auch bekannt unter dem Namen blasty. Geissler hat seinen Exploit auf X geteilt – ein anderer Schwachstellen- und Exploit-Experte namens Will Dormann bestätigte dessen Funktionsfähigkeit daraufhin.
flaphoschi
Lt. Commander
- Registriert
- Jan. 2018
- Beiträge
- 1.458
Ja.Mickey Cohen schrieb:
Aber es wird laufend besser. Durch die Sanitizer in GCC/CLANG und Valgrind hat sich die Situation grundlegend verbessert.
Ergänzung ()
Ziemlich kurz. Da gibt es in X11 noch mehr Altlasten und wohl in der ganzen WIN32-Implementierung.LuckyMagnum schrieb:
Log4J war mit 2013-2021 auch nicht so alt. Aber fürchterlich, weil Javacode mit Log4J wirklich überall rumgammelt und externe Angreifer anzieht.
Zuletzt bearbeitet:
SheepShaver
Commodore
- Registriert
- Nov. 2004
- Beiträge
- 4.207
Nein, so funktioniert das nicht.DarkSoul schrieb:
netzgestaltung
Captain
- Registriert
- Jan. 2020
- Beiträge
- 3.165
opnsense, debian und fedora sind aktualisiert, morgen kommen die ubuntus und manjaros dran. ev kriegen die gleich nobara drauf.
konkretor
Vice Admiral
- Registriert
- März 2011
- Beiträge
- 6.593
@dermatu
Jo bei curl kocht es auch, wie schlimm unklar
https://www.heise.de/news/cURL-Info...seit-Langem-kommen-am-11-Oktober-9326134.html
Jo bei curl kocht es auch, wie schlimm unklar
https://www.heise.de/news/cURL-Info...seit-Langem-kommen-am-11-Oktober-9326134.html
