Patch für Linux-Bibliothek glibc öffnet schwerwiegende Sicherheitslücke

Die neue Schwachstelle begünstigt Denial-of-Service-Angriffe. Sie lässt jegliche Anwendungen abstürzen, die auf die C-Bibliothek angewiesen sind. Ein neuer Patch steht bereits zur Verfügung.

Ein Anfang Juni veröffentlichtes Sicherheitsupdate für die GNU-C-Bibliothek (glibc) hat eine schwerwiegende Anfälligkeit in Linux-Betriebssysteme eingeführt. Es beseitigt zwar wie vorgesehen die Schwachstelle, für die es entwickelt wurde, der neue Fehler hat allerdings weitreichende Folgen für alle Anwendungen, die glibc nutzen.

Die Bibliothek ist die Standard-C-Bibliothek für Linux. Die nun entdeckte Sicherheitslücke mit der Kennung CVE-2021-38604, kann einen Absturz jeder Anwendung auslösen, die die glibc-Bibliothek nutzt. Sie wäre somit ein ideales Ziel für Angreifer, die ein Denial-of-Service (DoS) auslösen wollen.

Auf das Problem gestoßen ist Nikita Popov vom CloudLinux TuxCare Team. Ihm zufolge steckt ein Segmentierungs-Bug in der Bibliothek. Red Hat bewertet das von der Anfälligkeit ausgehende Risiko als hoch und vergibt 7,5 Punkte im zehnstufigen Common Vulnerability Scoring System (CVSS).

Jede Linux-Anwendung inklusive Interpretern für andere Sprachen wie Python und PHP seien mit glibc verbunden, ergänzte Popov. “Das ist der zweitwichtigste Teil nach dem Kernel, also sind die Auswirkungen gravierend. Auf die Schwachstelle wurde er aufmerksam, als er den Fix der ursprünglichen Sicherheitslücke bearbeitete.

Inzwischen liegt auch für die neue Schwachstelle ein Fix vor. Zudem wurde ein neuer Test für die automatische Testroutine von glibc hinzugefügt, die künftig ähnliche Fehler verhindern soll. Allerdings müssen die Anbieter von Linux-Distributionen noch implementieren. Fehlerfrei ist die Version 2.34 oder höher von glibc.