glibc: Neue Version repariert dramatische Lücke in Linux-Netzwerkfunktionen
Den kritische Fehler, den Angreifer zur Übernahme von Linux-Systemen nutzen konnten, hat das glibc-Team mit Version 2.23 offenbar behoben. Die anderen Änderungen wie Unicode-8-Support stehen im Schatten des Bugfix.
(Bild: dpa, Oliver Berg)
- Rainald Menge-Sonnentag
Kurz nach dem Bekanntwerden des kritischen Fehlers in einer Netzwerkfunktion der GNU C Library (glibc) hat das Team turnusmäßig eine neue Version veröffentlicht. Versteckt hatte sich der Bug in der Systemfunktion getaddrinfo, die Netzwerknamen via DNS auflöst. Angreifer konnten gezielt einen Pufferüberlauf erzeugen, indem sie DNS-Anfragen mit speziellen DNS-Paketen beantworteten. Dazu mussten sie entweder einen eigenen DNS-Server betreiben oder – was deutlich praktikabler ist – die DNS-Anfragen durch eine Man-in-the-Middle-Attacke manipulieren. glibc 2.23 erkennt laut den Release Notes "bestimmte ungültige Antworten" und bricht darauf den Prozess mit einer Fehlermeldung ab.
Planmäßiger Release
Bei Version 2.23 handelt es sich jedoch nicht um einen Notfall-Patch, sondern um den turnusmäßigen Release der Bibliothek. Seit 2012 erscheint etwas alle sechs Monate eine neue Version. Auch wenn die Bibliothek für viele Betriebssysteme verfügbar ist, kommt sie vor allem auf Linux-Systemen zum Einsatz – dort ist sie dafür nahezu flächendeckend verbreitet.
Die größte Neuerung der aktuellen Version ist der Unicode-8-Support. Darüber hinaus hat das Team zahlreiche Fehler behoben, darunter einen älteren Bug in der malloc-Implementierung zur Speicherverwaltung. Auch sind einige obsolete Funktionen und Header entfallen, und zum Erstellen der Bibliothek ist der GNU-Compiler in Version 4.7 Minimalvoraussetzung. Alle Änderungen stehen in den Release Notes zu glibc 2.23. (rme)
