Patch verfügbar

Die Mutmaßung am Ende des Artikels zur Verügbarkeit eines Patches erschließt sich mir nicht:
"Da Qualys die Sicherheitslücke erst Anfang September gemeldet hat und die letzte glibc-Version 2.38 Ende Juli erschien, ist anzunehmen, dass es derzeit zumindest für die breite Masse noch keinen offiziellen Patch gibt, der das Problem behebt."

Debian hat beispielweise bereits gestern ein Security Advisory samt Patches für die aktuelle stabilie Distribution sowie den Vorgänger veröffentlicht:
https://www.debian.org/security/2023/dsa-5514

Ohne explizit geschaut zu haben, gehe ich davon aus, dass auch die anderen großen Distros bereits Patches veröffentlicht haben oder dies noch in Kürze tun werden.

Kurzum Patches für Entwickler und Distributionen sind verfügbar, nur noch kein offizielles neues glibc-Release, welches diese bereits integriert hat.

Da habe ich mich in der Tat missverständlich ausgedrückt. Habe den letzten Absatz nochmal überarbeitet. Danke für den Hinweis!

Marc Stöckel
(Golem.de)

gleich mal ein pacman -Syyu gemacht - zumindest für Arch scheint es noch keinen Patch zu geben

cryptearth schrieb:
--------------------------------------------------------------------------------
> gleich mal ein pacman -Syyu gemacht - zumindest für Arch scheint es noch
> keinen Patch zu geben

Arch Linux hat zwar ein auf heute datiertes Paket im Repo, aber es ist immer noch die Version 2.38. Auch führen sie das CVE noch nicht unter den behobenen Sicherheitslücken.
https://security.archlinux.org/package/glibc

Safe:

xxx@pve:~# ldd --version
ldd (Debian GLIBC 2.31-13+deb11u7) 2.31

2.38-7

Wenn du bei deinem link auf "bugs closed" clickst, wird das hier verlinkt:
https://bugs.archlinux.org/task/79845
"FS#79845 - [glibc] Local Privilege Escalation in the glibc's ld.so CVE-2023-4911 "

Scheint mir also gefixt zu sein, auch wenn es noch nicht als resolved in der Übersicht drin ist.

*edit*
Wurde schon in 2.38-6 gefixt
https://gitlab.archlinux.org/archlinux/packaging/packages/glibc/-/commit/44132f9994aa3dc72cb82204fbee957675b8802e



1 mal bearbeitet, zuletzt am 04.10.23 15:15 durch ashahaghdsa.

bei liefern sowohl pacman -Qi glibc als auch pacman -Si glibc jeweils 2.38-5
ich hab zwar nochmal reflector mit -age 6 laufen lassen - ändert aber auch nichts

Bei mir hat pacman heute die 2.38-7 gefunden und installiert. Ich nutze aber auch eine Mirrorlist, die ich einmal bei der Installation angelegt (deutsche Mirror sortiert nach Score) und seitdem nicht mehr angefasst habe.

pacman -Qi glibc
Name: glibc
Version: 2.38-7
Architektur: x86_64
Installationsgröße: 47,33 MiB
Erstellt am: Di 03 Okt 2023 22:20:10 CEST
Installiert am: Mi 04 Okt 2023 14:53:36 CEST



1 mal bearbeitet, zuletzt am 04.10.23 17:43 durch mibbio.

Linux Mint meldet


> ldd (Ubuntu GLIBC 2.35-0ubuntu3.4) 2.35


Scheint aber auch safe zu sein

https://launchpad.net/ubuntu/+source/glibc/2.35-0ubuntu3.4



1 mal bearbeitet, zuletzt am 04.10.23 19:27 durch M.P..

hab heute früh nochmal reflector laufen lassen und dann über einen anderen, aktuelleren mirror jetzt auch die -7
liegt wohl daran, dass ich zusätzlich --sort rate nutze und wohl die mirror zu denen ich gute verbindung hab etwas hinterher sind