Technischer Support
Dokumentation
Anmeldung
Kontakt
Die GNU C Library, auch glibc genannt, ist eine grundlegende Komponente der Linux-basierten Betriebssysteme. Sie bietet wesentliche Funktionen, die Programme benötigen, um auf Ihrem System richtig zu funktionieren. Die glibc-Bibliothek gibt es seit 1992, und sie wird vom GNU-Projekt gepflegt. Eine Glibc-Schwachstelle ist ein Fehler oder eine Schwäche in dieser Bibliothek, die von böswilligen Akteuren ausgenutzt werden kann, um die Sicherheit Ihres Systems zu gefährden. Diese Schwachstellen können in Form von Pufferüberläufen, Speicherfehlern, Use-after-free und anderen Softwareproblemen auftreten.
Angreifer können diese Schwachstellen schnell ausnutzen, daher ist es wichtig, Ihre Systeme zu verstehen und zu schützen. Wenn eine Schwachstelle erfolgreich ausgenutzt wird, können Angreifer bösartige Programme ausführen, vertrauliche Daten stehlen und sich unbefugten Zugang zu Ihrem System verschaffen.
In diesem Blogbeitrag werden wir uns mit den kritischen Sicherheitslücken befassen, die in der glibc entdeckt wurden, und bewährte Verfahren und Tools zur Abschwächung der potenziellen Risiken vorstellen.
Beispiele für kritische glibc-Schwachstellen
In der Glibc bis zur Version 2.34 kopierte die veraltete Kompatibilitätsfunktion svcunix_create im sunrpc-Modul ihr Pfadargument auf den Stack, ohne dessen Länge zu überprüfen. Dies führte zu einer Pufferüberlauf-Schwachstelle, die möglicherweise zu einer Dienstverweigerung oder der Ausführung von beliebigem Code führen kann (wenn Stack Protector nicht aktiviert ist).
In der Glibc bis Version 2.34 kopierte die veraltete Kompatibilitätsfunktion clnt_create im sunrpc-Modul ihr hostname-Argument auf den Stack, ohne eine ausreichende Längenüberprüfung durchzuführen. Dies führte zu einer Pufferüberlauf-Schwachstelle, die möglicherweise zu einer Dienstverweigerung oder der Ausführung von beliebigem Code führen kann (wenn Stack Protector nicht aktiviert ist).
Die Funktion sprintf in glibc 2.37 hat in einigen Situationen mit der richtigen Puffergröße eine Pufferüberlaufschwachstelle. Dieses Problem steht in keinem Zusammenhang mit CWE-676. Das Problem tritt auf, wenn versucht wird, eine aufgefüllte, Tausender-getrennte Zeichenkettendarstellung einer Zahl in einen Puffer zu schreiben, der genau für die Zeichenkettendarstellung dieser Zahl vorgesehen ist. In Fällen wie dem Auffüllen von "1.234.567" auf eine Länge von 13 Zeichen kommt es zu einem Überlauf, der die Puffergrenzen um zwei Bytes überschreitet.
In der GNU C Library (glibc) bis zur Version 2.33 besteht eine Schwachstelle in der Funktion wordexp. Wenn diese Funktion mit einem in böser Absicht erstellten Muster aus einer nicht vertrauenswürdigen Quelle aufgerufen wird, kann dies zu einem Systemabsturz oder einem nicht autorisierten Speicherzugriff innerhalb der parse_param-Funktion in posix/wordexp.c führen.
Die Funktion mq_notify in den Glibc-Versionen 2.32 und 2.33 wurde mit einer Use-after-free-Schwachstelle identifiziert. Diese Schwachstelle tritt auf, wenn die Funktion weiterhin das Benachrichtigungs-Thread-Attribute-Objekt verwendet, das über seinen struct sigevent-Parameter bereitgestellt wird, selbst nachdem der Aufrufer es freigegeben hat. Sie kann möglicherweise zu einer Dienstverweigerung führen, die Anwendung zum Absturz bringen oder andere nicht spezifizierte negative Auswirkungen haben.
Anfälligkeit für Zenbleed: Ein neu aufkommendes Problem
Bei der Bewertung von Schwachstellen wie der glibc ist es auch wichtig, die kürzlich entdeckte zenbleed-Schwachstelle zu berücksichtigen. Obwohl diese Schwachstelle nicht direkt mit der glibc zusammenhängt, hat ihre Fähigkeit, die Systemintegrität durch ähnliche Pufferüberläufe und unsachgemäße Handhabung von Speicheroperationen zu beeinträchtigen, unter Linux-Administratoren und Sicherheitsexperten große Besorgnis ausgelöst. Die zenbleed-Schwachstelle erinnert daran, dass selbst subtile Schwachstellen in Systembibliotheken zu schwerwiegenden Angriffen führen können, wenn sie nicht ordnungsgemäß behoben werden.
Best Practices für Linux-Administratoren zum Schutz vor einer glibc-Schwachstelle
Regelmäßige Updates
Die beste Verteidigung gegen glibc-Schwachstellen ist, Ihr System auf dem neuesten Stand zu halten. Linux-Distributionen veröffentlichen häufig Sicherheitsupdates und Patches, um bekannte Schwachstellen zu beheben. Installieren Sie diese Updates so schnell wie möglich.
Kontinuierliche Überwachung
Überwachen Sie Ihre Systeme auf verdächtige Aktivitäten und prüfen Sie die Benutzeraktivitäten auf Protokolle und Aufzeichnungen von Aktionen, die auf Ihren Computersystemen und in Ihren Netzwerken durchgeführt wurden. Dazu gehören Aktivitäten wie Anmeldungen, Dateizugriffe, Änderungen der Systemkonfiguration, Netzwerkverbindungen und mehr. Um eine sichere Umgebung aufrechtzuerhalten, ist es unerlässlich, sowohl vor Angriffen auf Systemebene als auch vor Schwachstellen bei der Authentifizierung auf der Hut zu sein, insbesondere in Mehrbenutzer- oder Unternehmensumgebungen.
Sicherheitstools verwenden
Führen Sie regelmäßig eine Überprüfung auf veraltete gemeinsam genutzte Bibliotheken und Sicherheitslücken durch, um potenzielle Schwachstellen zu erkennen und zu beheben. TuxCare bietet ein kostenloses Tool namens uChecker an, um anfällige Bibliotheken zu erkennen, die von verschiedenen Anwendungen verwendet werden.
Besuchen Sie die uChecker GitHub-Seite um zu erfahren, wie man mit uChecker nach veralteten Bibliotheken sucht.
Patch-Verwaltung
Eine wirksame Strategie für die Patch-Verwaltung ist von entscheidender Bedeutung, um durch rechtzeitige Patches eine solide Sicherheit zu gewährleisten. Die Verzögerung kritischer Patches kann Ihr System einem hohen Risiko aussetzen und möglicherweise zur Ausnutzung von Schwachstellen führen.
Verwenden Sie daher automatische Patching-Tools wie LibCare die das Patchen von Sicherheitslücken automatisieren, so dass Sie Patches immer pünktlich erhalten. Darüber hinaus bietet LibCare Live-Patching, so dass Sie Sicherheits-Patches ohne Server-Neustart oder Ausfallzeiten bereitstellen können.
TuxCare für Unternehmen Live-Patching-Dienste
LibCare ist ein Zusatzwerkzeug für KernelCare Enterprisedas Live-Patching-Dienste für Unternehmen für die meisten wichtigen Linux-Distributionen bietet, darunter Ubuntu, Debian, RHEL, CentOS, AlmaLinux, Oracle Linux, Cloud Linux und mehr.
Mit KernelCare und LibCare können Sie den maximalen Schutz Ihrer Linux-Systeme gewährleisten, einschließlich der gemeinsam genutzten Bibliotheken, wie glibc und OpenSSLdie anfällig für Angriffe sind.
Der Einstieg in LibCare ist denkbar einfach. Fügen Sie LibCare einfach zu Ihrem aktuellen KernelCare Enterprise-Abonnement hinzu, um mit dem Patchen Ihrer gemeinsam genutzten Bibliotheken zu beginnen.
Die große Anzahl von Servern, die auf Linux-basierten Betriebssystemen basieren, macht eine glibc-Schwachstelle zu einem ernsthaften Problem. Gehen Sie keine Kompromisse bei der Glibc-Sicherheit ein und stören Sie Ihren Betrieb nicht länger. Verbessern Sie mit LibCare von TuxCare die Sicherheit Ihres Unternehmens und genießen Sie die Gewissheit, dass die Bibliotheken automatisch und ohne Unterbrechung gepatcht werden.
Erfahren Sie mehr darüber, wie LibCare die Sicherheitsstrategie Ihres Unternehmens revolutionieren kann, nehmen Sie Kontakt mit unseren Experten in Verbindung.
