DFN-CERT

Advisory-Archiv

2022-0177: GNU Lib C: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2022-01-25 12:18)
Neues Advisory
Version 2 (2022-01-28 11:34)
Für Fedora 34 steht ein Sicherheitsupdate zur Behebung der Schwachstellen in 'glibc' im Status 'testing' bereit.
Version 3 (2022-02-07 09:02)
Für die SUSE Linux Enterprise Produkte High Performance Computing, Desktop, Server, Server for SAP Applications, Module for Development Tools und Module for Basesystem jeweils in Version 15 SP3 und 15 SP4, SUSE Manager Server und SUSE Manager Proxy jeweils in Version 4.2, SUSE Linux Enterprise Micro 5.1 sowie openSUSE Leap 15.3 und 15.4 stehen Sicherheitsupdates für 'glibc' bereit. Die Sicherheitsupdates beheben die Schwachstellen CVE-2021-3999, CVE-2022-23218 und CVE-2022-23219, adressieren einen nicht sicherheitsrelevanten Fehler und implementieren eine Funktionserweiterung.
Version 4 (2022-02-17 08:55)
Für SUSE Linux Enterprise Server 12 SP4 LTSS und 12 SP5, SUSE Linux Enterprise Server for SAP 12 SP4, SUSE Linux Enterprise Server for SAP Applications 12 SP5, SUSE Linux Enterprise Software Development Kit 12 SP5 sowie SUSE OpenStack Cloud 9 und Cloud Crowbar 9 stehen Sicherheitsupdates für 'glibc' bereit. Die Sicherheitsupdates beheben die Schwachstellen CVE-2021-3999, CVE-2022-23218 und CVE-2022-23219 und adressieren drei weitere, nicht sicherheitsrelevante Fehler.
Version 5 (2022-03-15 17:08)
Für Red Hat Enterprise Linux 8 stehen Sicherheitsupdates bereit, mit denen die Schwachstellen CVE-2021-3999, CVE-2022-23218 und CVE-2022-23219 in 'glibc' adressiert werden.
Version 6 (2022-03-17 09:05)
Für Oracle Linux 8 (aarch64, x86_64) steht ebenfalls ein Sicherheitsupdate für 'glibc' bereit, welches die Schwachstellen CVE-2021-3999, CVE-2022-23218 und CVE-2022-23219 adressiert.
Version 7 (2022-03-21 08:30)
Für Oracle Linux 8 (aarch64, x86_64) steht ein weiteres Sicherheitsupdate für 'glibc' bereit, welches wiederum die Schwachstellen CVE-2021-3999, CVE-2022-23218 und CVE-2022-23219 adressiert.
Version 8 (2022-03-21 16:54)
Für SUSE Linux Enterprise Server 12 SP2 BCL / LTSS und 12 SP3 LTSS, SUSE Linux Enterprise Server for SAP 12 SP3 sowie SUSE OpenStack Cloud 8 und SUSE OpenStack Cloud Crowbar 8 stehen Sicherheitsupdates für 'glibc' bereit. Die Sicherheitsupdates beheben die Schwachstellen CVE-2021-3999, CVE-2022-23218 und CVE-2022-23219.
Version 9 (2022-04-08 18:43)
Oracle veröffentlicht korrespondierend zu ELSA-2022-0896 Ksplice-Updates für glibc' für Oracle Linux 8 zur Behebung der referenzierten Schwachstellen.
Version 10 (2022-05-16 11:25)
Für Oracle Linux 7 (x86_64) steht ein Sicherheitsupdate für 'glibc' bereit, welches die Schwachstellen CVE-2021-3999, CVE-2022-23218 und CVE-2022-23219 behebt.
Version 11 (2022-05-23 10:12)
Oracle veröffentlicht korrespondierend zu ELSA-2022-9358 Ksplice-Updates für glibc' für Oracle Linux 7 zur Behebung der referenzierten Schwachstellen.
Version 12 (2022-06-01 17:39)
Oracle veröffentlicht korrespondierend zu ELSA-2022-9358 nach dem 'Ksplice-Aware Release' (ELSA-2022-9421) nun Ksplice-Updates für glibc' für Oracle Linux 7 zur Behebung der referenzierten Schwachstellen.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Netzwerk
Cloud
Linux
Oracle
Container

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen und beliebigen Programmcode auszuführen. Zudem kann ein Angreifer eine Schwachstelle lokal ausnutzen, um beliebigen Programmcode auszuführen.

Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich.

Für Fedora 35 steht das Paket 'glibc-2.34-21.fc35' im Status 'testing' als Sicherheitsupdate bereit.

Schwachstellen:

CVE-2021-3998

Schwachstelle in GNU Lib C ermöglicht Ausspähen von Informationen

CVE-2021-3999

Schwachstelle in GNU Lib C ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-23218

Schwachstelle in GNU Lib C ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-23219

Schwachstelle in GNU Lib C ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.