Kurzinfo CB-K17/2220

4 Risiko: hoch
Information zu Schwachstellen und Sicherheitslücken
Titel: GNU Lib C: Zwei Schwachstellen ermöglichen u.a. das Erlangen von Administratorrechten
Datum: 27.12.2017
Software: GNU Lib C < 2.27
Plattform: Red Hat Fedora 27
Auswirkung: Erlangen von Administratorrechten
Remoteangriff: Nein
Risiko: hoch
CVE Liste: CVE-2017-1000408, CVE-2017-1000409
Bezug: Fedora Security Update FEDORA-2017-828f8a8fc6 (Fedora 27, glibc-2.26-21.fc27)
Revisions Historie
  • Version: 1

    Neues Advisory

Beschreibung

GNU Lib C (glibc) ist eine freie Implementierung der C-Standard-Bibliothek, die vom GNU-Projekt zusammen mit der GNU Compiler Collection entwickelt wird.

Zwei Schwachstellen in GNU Lib C ermöglichen einem lokalen, einfach authentisierten Angreifer das Erlangen von Administratorrechten und verschiedene Denial-of-Service-Angriffe. Die Schwachstelle CVE-2017-1000409 kann nur ausgenutzt werden, wenn '/proc/sys/fs/protected_hardlinks' nicht aktiviert ist. Diese Einstellung ist die Vorgabe des Linux-Kernels, allerdings wird diese durch die meisten Linux-Distributionen aktiviert. Beide Schwachstellen sind nicht ausnutzbar, wenn der Patch für die Schwachstelle CVE-2017-1000366 angewendet wurde. Dieser Patch wurde in der GNU Lib C Version 2.26 eingebunden, die meisten Linux-Distributionen haben den Patch allerdings bereits vorher für ihre Pakete der GNU Lib C portiert. Der Hersteller führt die Schwachstelle in den Release Notes der aktuellen Entwicklungsversion 2.27 auf. Diese Version wird voraussichtlich Anfang Februar 2018 veröffentlicht. Für Fedora 27 steht ein Sicherheitsupdate in Form des Pakets 'glibc-2.26-21.fc27' im Status 'testing' bereit.

  1. Schwachstelle CVE-2017-1000408 (NVD)

  2. Schwachstelle CVE-2017-1000409 (NVD)

  3. Fedora Security Update FEDORA-2017-828f8a8fc6 (Fedora 27, glibc-2.26-21.fc27)

  4. GNU C Library NEWS, Stand 27.12.2017

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.