DFN-CERT

Advisory-Archiv

2017-1051: GNU Lib C: Eine Schwachstelle ermöglicht die Übernahme eines Systems

Historie:

Version 1 (2017-06-20 13:34)
Neues Advisory
Version 2 (2017-06-21 12:06)
Für Fedora 24 und 25 stehen Backport-Sicherheitsupdates in Form der Pakete 'glibc-2.23.1-12.fc24' und 'glibc-2.24-8.fc25' im Status 'testing' bereit. Nach Installation des Sicherheitsupdates ist ein Neustart erforderlich. Für openSUSE Leap 42.2, Oracle VM 3.3 (x86_64) und Oracle VM 3.4 (x86_64) stehen ebenfalls Backport-Sicherheitsupdates für 'glibc' bereit. Darüber hinaus stehen weitere Sicherheitsupdates für Oracle Linux 6 und 7 (x86_64) bereit. Hier wird die gleiche interne Bug-ID, aber eine andere CVE erwähnt. Wahrscheinlich handelt es sich dabei um einen Tippfehler.
Version 3 (2017-06-22 19:40)
Red Hat hat aktualisierte Versionen des Red Hat Enterprise Linux 6.9 und 7.3 Guest Image für Red Hat Enterprise Linux Amazon Machine Image (AMI) in AWS EC2 zur Behebung der Schwachstelle veröffentlicht.
Version 4 (2017-06-30 12:07)
Canonical stellt analog zu USN-3323-1 nun auch ein Sicherheitsupdate für Ubuntu 12.04 ESM bereit.
Version 5 (2017-07-07 11:07)
Oracle stellt Sicherheitsupdates für Oracle Linux 5 (i386, ia64, x86_64) für 'glibc' bereit.
Version 6 (2017-07-31 13:22)
Oracle veröffentlicht für Oracle VM 3.2 ein Sicherheitsupdate für die Bibliothek glibc, um die Schwachstelle zu beheben.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Netzwerk
Cloud
Linux
Oracle

Beschreibung:

Eine Schwachstelle im Speichermanagement von GNU Lib C ermöglicht einem lokalen, nicht authentisierten Angreifer den Heap/Stack-basierten Speicher zum Überlauf zu bringen und in der Folge seine eigenen Privilegien unter Umständen so zu eskalieren, dass er die Kontrolle über ein System vollständig übernehmen kann.

Debian stellt für die stabile Distribution Stretch und die alte stabile Distribution Jessie Backport-Sicherheitsupdates für 'glibc' bereit.

Red Hat stellt für die Red Hat Enterprise Linux Produkte Linux 5 Extended Lifecycle Support (ELS), Server 5.9 Long Life, Server Advanced Update Support (AUS) 6.2, 6.4, 6.5, 6.6 und 7.2, Server Telco Update Support (TUS) 6.5, 6.6, 7.2 und 7.3, Server Extended Update Support (EUS) 6.7.z und 7.2, HPC Node Extended Update Support (EUS) 7.2 sowie die Red Hat Enterprise Linux 6 und 7 Produkte Desktop, HPC Node, Server und Workstation Backport-Sicherheitsupdates für 'glibc' bereit.

Für Oracle Linux 6 (i386, x86_64) und Oracle Linux 7 (x86_64) stehen ebenfalls Backport-Sicherheitsupdates zur Verfügung.

Canonical stellt für Ubuntu 17.04, Ubuntu 16.10, Ubuntu 16.04 LTS und Ubuntu 14.04 LTS Backport-Sicherheitsupdates für 'eglibc' und 'glibc' zur Verfügung.

Für die SUSE Linux Enterprise Produkte Software Development Kit 11 SP4 und 12 SP2, Server 11 SP3 LTSS, 11 SP4, 12 LTSS, 12 SP1 LTSS und 12 SP2, Server for SAP 12 und 12 SP1, Server for Raspberry Pi 12 SP2, Desktop 12 SP2, Debuginfo 11 SP3 und 11 SP4 sowie SUSE OpenStack Cloud 6 und OpenStack Cloud Magnum Orchestration 7 stehen Backport-Sicherheitsupdates für 'glibc' bereit.

Für Fedora 26 steht das Paket 'glibc-2.25-6.fc26' als Backport-Sicherheitsupdate bereit, welches sich derzeit noch im Status 'pending' befindet.

Schwachstellen:

CVE-2017-1000366

Schwachstelle in GNU Lib C ermöglicht Erlangen von Administratorrechten

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.