2017-2322: GNU Lib C: Zwei Schwachstellen ermöglichen u.a. das Erlangen von Administratorrechten

Historie:

Version 1 (2017-12-27 16:44)

Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Zwei Schwachstellen in GNU Lib C ermöglichen einem lokalen, einfach authentisierten Angreifer das Erlangen von Administratorrechten und verschiedene Denial-of-Service-Angriffe.

Die Schwachstelle CVE-2017-1000409 kann nur ausgenutzt werden, wenn '/proc/sys/fs/protected_hardlinks' nicht aktiviert ist. Diese Einstellung ist die Vorgabe des Linux-Kernels, allerdings wird diese durch die meisten Linux-Distributionen aktiviert.

Beide Schwachstellen sind nicht ausnutzbar, wenn der Patch für die Schwachstelle CVE-2017-1000366 angewendet wurde. Dieser Patch wurde in der GNU Lib C Version 2.26 eingebunden, die meisten Linux-Distributionen haben den Patch allerdings bereits vorher für ihre Pakete der GNU Lib C portiert. Der Hersteller führt die Schwachstelle in den Release Notes der aktuellen Entwicklungsversion 2.27 auf. Diese Version wird voraussichtlich Anfang Februar 2018 veröffentlicht.

Für Fedora 27 steht ein Sicherheitsupdate in Form des Pakets 'glibc-2.26-21.fc27' im Status 'testing' bereit.

Schwachstellen:

CVE-2017-1000408

Schwachstelle in GNU Lib C ermöglicht Denial-of-Service-Angriff

CVE-2017-1000409

Schwachstelle in GNU Lib C ermöglicht Erlangen von Administratorrechten

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.