Mageia Forum

[jkowalzik]

Hallo!
Viel Lärm um Nichts oder bedrohliche Sicherheitslücke mit dem Bezeichner CVE-2015-7547

Alert! glibc: Dramatische Sicherheitslücke in Linux-Netzwerkfunktionen
heise Security - 17.02.2016 10:24 Uhr Jürgen Schmidt

Wenn schon seit 2008 vorhanden, dann muss sie ja gut versteckt gewesen sein.
Gruß
J.

[doktor5000]

Wenn ein ernsthaftes Nachrichtenportal in der Security-Abteilung etwas eine "dramatische Sicherheitslücke" nennt, erübrigt sich da nicht die Frage?
Tipp am Rande: Nicht so oft von sich auf andere schließen ... von wegen "viel Lärm um nichts".

Für mehr Details siehe z.B. http://arstechnica.com/security/2016/02 ... ulnerable/

[man-draker]

@jürgen:

1. Hast die dazugehörende Meldung bei Heise gelesen?
http://heise.de/-3107621

2. Was davon hast du verstanden?

[alf]

Der Vollständigkeit halber, Stand der Dinge bei Mageia: https://bugs.mageia.org/show_bug.cgi?id=17394

[man-draker]

Heißt dann wohl: Es kann noch dauern. (CentOS 6 und 7 haben das Update schon. )

Für "normale" Desktop-PC halte ich das Risiko noch für tragbar.

Denn entweder muss ein Angreifer

- den DNS-Server des Providers (z.B. Telekom) übernehmen
- oder eine "man in the middle attack" im Providernetz zwischen PC und DNS-Server hinbekommen
- oder der PC einen anderen, als den DNS-Server des Providers nutzen, und zu diesem hin
die vorstehenden Punkte erfüllt sein.

Bei 1,62% Marktanteil bei Desktops (http://r84.imgup.net/_OS-Anteilc618.jpg) lohnt keine automatisierte Attacke auf PCs.

Bei Firmenservern sieht das evtl. anders aus.

[alf]

Da sich tmb inzwischen der Sache angenommen hat wird's wohl nicht all zu lange dauern.

[man-draker]

Da sich tmb inzwischen der Sache angenommen hat wird's wohl nicht all zu lange dauern.

Mit den Infos haben die Schingel aber gewartet, bis ich mit Lesen und Posten fertig war.

[doktor5000]

Heißt dann wohl: Es kann noch dauern. (CentOS 6 und 7 haben das Update schon. )

Das will nicht viel heißen. In der Vergangenheit ist das oft so gewesen, allerdings hat sich dann beim gründlichen Testen durch unser QA-Team herausgestellt,
dass diese vorschnell veröffentlichten Fixes teilweise das Problem gar nicht oder nur unvollständig behoben haben, oder andere Fehler mitgebracht haben.
Lieber vernünftig getestete Updates anstatt welcher die nur schnell veröffentlicht werden.

[jkowalzik]

Hallo!
"Ich bleibe glücklich, bleibe froh / wie der Mops im Paletot."
Das ist doch die Meldung aus der ich zitiert habe! "17.02.2016 10:24 Uhr Jürgen Schmidt"

@jürgen:
1. Hast die dazugehörende Meldung bei Heise gelesen?
http://heise.de/-3107621

Ihr "Jangsters" seid wohl besser dran als ich, ich hab nur "Lesen gelernt", heute wird Lesekompetenz erworben.

2. Was davon hast du verstanden?

Alles
"Ein Google-Techniker hatte seltsame Abstürze seines SSH-Clients registriert, wenn er versuchte...."
Da steht allerdings nicht wann das war, muss allerdings vor Juni 2015 gewesen sein.
"Offenbar arbeiten die glibc-Entwickler bereits seit Juli 2015 an dem Problem"
Diese glibc-Version gibt es seit 2008
"The vulnerability was introduced in 2008 in GNU C Library, "
Wenn das bis 2014/2015 nicht aufgefallen war, dann nenne ich das "gut versteckt".
" Besser ist es deshalb, möglichst schnell die Updates einzuspielen. Denn diverse Teams arbeiten bereits fieberhaft an eigenen, scharfen Exploits."

Wenn ein ernsthaftes Nachrichtenportal in der Security-Abteilung etwas eine "dramatische Sicherheitslücke" nennt, erübrigt sich da nicht die Frage?
Tipp am Rande: Nicht so oft von sich auf andere schliessen ... von wegen "viel Lärm um nichts".

Das ist jetzt wieder das berühmte "Henne - Ei - Problem"
Gugel-Techniker --- Sicherheitslücke oder Sicherheitslücke --- Gugeltechniker.
Gruß
J.

[jkowalzik]

Um die Abhängigkeiten zu erfüllen, werden die folgenden 2 Pakete installiert:

- glibc-2.20-21.mga5.x86_64
- glibc-devel-2.20-21.mga5.x86_64

5.2kB zusätzlicher Speicher wird benötigt

7.6MB der Pakete werden geholt.

Wollen Sie fortfahren?

[Latte]

und mal nebenher: https://bugs.mageia.org/show_bug.cgi?id=17394#c19

Just to have this on record - 3 hours from building to testing and release.

Thanks everybody for availing your time to this priority update.

Es hat evtl etwas Zeit gebraucht, bis jemand (in diesem Fall Thomas) die Zeit gefunden hat sich drum zu kümmern (wie der dok schon im int. Forum geschrieben hat, sind die meisten nur in ihrer Freizeit für Mageia aktiv), aber dann geht es doch meist sehr schnell..