Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
glibc Security Problem ?
View unanswered posts
View posts from last 24 hours
View posts from last 7 days

 
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German)
View previous topic :: View next topic  
Author Message
Duncan Mac Leod
Apprentice
Apprentice


Joined: 02 May 2004
Posts: 251
Location: Germany

PostPosted: Wed Feb 17, 2016 11:04 am    Post subject: glibc Security Problem ? Reply with quote

Frage: Auf heise.de http://www.heise.de/newsticker/meldung/glibc-Dramatische-Sicherheitsluecke-in-Linux-Netzwerkfunktionen-3107621.html stand heute eine Warnung vor glibc.

Weiss jemand, WELCHE Versionen betroffen sind und ob diese Panik-Mache tatsächlich berechtigt ist?
Back to top
View user's profile Send private message
Klaus Meier
Advocate
Advocate


Joined: 18 Apr 2005
Posts: 2903
Location: Bozen

PostPosted: Wed Feb 17, 2016 11:59 am    Post subject: Reply with quote

Ist doch längst gefixed. System aktualisieren und Problem gelöst.

Der Artikel bei Heise ist allerdings nichts weiteres als Panikmache. Lies lieber hier:
http://www.golem.de/news/glibc-sicherheitsluecke-gefaehrdet-fast-alle-linux-systeme-1602-119172.html
Back to top
View user's profile Send private message
Duncan Mac Leod
Apprentice
Apprentice


Joined: 02 May 2004
Posts: 251
Location: Germany

PostPosted: Wed Feb 17, 2016 12:20 pm    Post subject: Reply with quote

Klaus Meier wrote:
Ist doch längst gefixed. System aktualisieren und Problem gelöst.

Der Artikel bei Heise ist allerdings nichts weiteres als Panikmache. Lies lieber hier:
http://www.golem.de/news/glibc-sicherheitsluecke-gefaehrdet-fast-alle-linux-systeme-1602-119172.html


Ich setze noch die glibc-2.17 ein, welche sich ja immer noch im Portage Tree befindet bzw. als stable markiert ist.

Ist es da auch gefixed, oder muss ich auf eine höhere upgraden? Es gibt leider keine Infos, welche Versionen davon betroffen sind.
Back to top
View user's profile Send private message
Klaus Meier
Advocate
Advocate


Joined: 18 Apr 2005
Posts: 2903
Location: Bozen

PostPosted: Wed Feb 17, 2016 1:35 pm    Post subject: Reply with quote

Vom Bug betroffen sind alle Versionen seit 2.9. Also auch deine. Aktuell ist 2.22-r2 für testing und 2.21-r2 stable. Jedenfalls für amd64. Siehe auch hier:
https://packages.gentoo.org/packages/sys-libs/glibc

Für andere Versionen gab es bis jetzt noch keine Updates, du solltest also möglichste auf 2.21-r2 aktualisieren. Wenn du x86 verwendest.gibt es wohl noch keinen Fix.
Back to top
View user's profile Send private message
franzf
Advocate
Advocate


Joined: 29 Mar 2005
Posts: 4408

PostPosted: Wed Feb 17, 2016 8:54 pm    Post subject: Reply with quote

Klaus Meier wrote:
Der Artikel bei Heise ist allerdings nichts weiteres als Panikmache. Lies lieber hier:
http://www.golem.de/news/glibc-sicherheitsluecke-gefaehrdet-fast-alle-linux-systeme-1602-119172.html

Weiß nicht wie du zu der Einschätzung kommst. Lesen sich fast gleich, dramatische Überspitzungen - Panikmache - konnte ich bei heise nicht feststellen.
Back to top
View user's profile Send private message
Klaus Meier
Advocate
Advocate


Joined: 18 Apr 2005
Posts: 2903
Location: Bozen

PostPosted: Wed Feb 17, 2016 9:17 pm    Post subject: Reply with quote

Zum Beispiel wird bei allen Artikeln, die ich gelesen habe, darauf hingewiesen, dass Android nicht betroffen ist. Außer bei Heise. Und dann steht bei Heise am Ende so ein Geschwurbel in Bezug auf Geräte, die nie ein Update bekommen, was ja wohl eindeutig den Eindruck erwecken soll, dass es sich hierbei um Android handelt, ohne es beim Namen zu nennen.

Weiterhin steht da etwas von alle Linux/Unix-Versionen wären betroffen. Was ja auch komplett falsch ist. Die glibc wird in erster Linie von Desktop-Linuxen genutzt. Embeded Devices sind außen vor genauso wie Android und BSD. Betroffen ist kein OS per se sondern nur die, die die glibc verwenden. Und für die gibt es inzwischen ein Update. Das Update gab es schon, bevor Heise diesen Beitrag verkackt hat. Auf Golem gab es den Artikel dazu schon gestern.

Maximale Panikmache bei minimaler Information. Da gibt es Golem, Pro-Linux und derStandard nur mal so auf die Schnelle, wo man ohne Hetze informiert wird. Heise ist doch inzwischen wie Pegida.

Aber Heise hat ja inzwischen auch seine Peinlichkeit erkannt und nachgeschoben, dass Android nicht betroffen ist.

Edit: Des weiteren sollte man einen Screenshot machen, wenn man Heise zitiert. Weil die ihre Beiträge ohne Hinweis ändern und man dann manchmal total dumm dasteht, wenn man sich auf etwas bezieht, was inzwischen geändert wurde. Sehe gerade, der Artikel hat einen Timestamp von 10:24. Ich kann mich aber entsinnen, diesen Artikel schon mindestens 2 Stunden vorher gelesen zu haben, weil ich dann aus dem Haus gegangen bin. Und im aktuellen Artikel wird nur noch auf Linux verwiesen. Ich meine aber, mich erinnern zu können, dass da auch mal Unix drin stand. Wie gesagt, ich habe heute morgen keinen Screenshot angefertigt, um meine Aussage zu belegen, aber alleine die Tatsache mit dem Timestamp, wie gesagt, ich weiß, wann ich heute zur Arbeit gegangen bin und wann ich den Artikel gelesen habe. Meine Arbeit beginnt um 9 Uhr.

Noch ein Edit: Der Artikel bei Golem ist datiert auf den 16.02.2016 16 Uhr 59.
Back to top
View user's profile Send private message
schmidicom
Veteran
Veteran


Joined: 09 Mar 2006
Posts: 1559
Location: Schweiz

PostPosted: Thu Feb 18, 2016 7:26 am    Post subject: Reply with quote

Nur mal so aus reiner Neugier, was genau müsste man machen um ein Gentoo von sys-libs/glibc auf z.B. sys-libs/musl umzustellen?
_________________
GPG: 0x3FC78AEE51E5FB95
Back to top
View user's profile Send private message
Klaus Meier
Advocate
Advocate


Joined: 18 Apr 2005
Posts: 2903
Location: Bozen

PostPosted: Thu Feb 18, 2016 7:33 am    Post subject: Reply with quote

Man tippe in eine Findmaschine die Worte "gentoo" und "musl" und erhält als ersten Link folgendes:
https://wiki.gentoo.org/wiki/Project:Hardened_musl
Back to top
View user's profile Send private message
schmidicom
Veteran
Veteran


Joined: 09 Mar 2006
Posts: 1559
Location: Schweiz

PostPosted: Thu Feb 18, 2016 7:38 am    Post subject: Reply with quote

Klaus Meier wrote:
Man tippe in eine Findmaschine die Worte "gentoo" und "musl" und erhält als ersten Link folgendes:
https://wiki.gentoo.org/wiki/Project:Hardened_musl

Weder habe ich ein ein Hardened-Gentoo noch möchte ich so etwas.

EDIT:
Scheinbar gibt es eine Variable mit dem Namen ELIBC welche entscheidet welche Implementation verwendet werden soll aber wie diese geändert werden kann ohne gleich ein Profil aktivieren zu müssen das man gar nicht haben will steht scheinbar nirgends.
_________________
GPG: 0x3FC78AEE51E5FB95
Back to top
View user's profile Send private message
ChrisJumper
Advocate
Advocate


Joined: 12 Mar 2005
Posts: 2224
Location: Germany

PostPosted: Sun Feb 21, 2016 2:01 pm    Post subject: Reply with quote

Das update der Glibc war schnell da ja, aber selbst mit einem am Heise Artikeltag synchronisierten tree hatte war bis mittag auf amd64 Systemen glaube ich noch kein Patch da. Die 22-r2 wurde da erst als stabil markiert.

Da ich aber immer nach Patches suche und schaue ob im Quellcode die Aktualisierung drin ist, habe ich evtl. Die ungepatchte Grundversion geprüft.

Beim Emerge kommt ja immer "apply patches..." wo genau sind diese Patches gelistet? Beziehungsweise Gespeichert? Im ebuild? Dachte die liegen unter /usr/portage/sys-lib/glibc/files oder so.

Vielleicht wenn ich mit ebuild unpack den Quellcode in temp Verzeichnis entpackt habe dort irgendwo als patch? Würde ja Sinn machen.

War die x86 Version Oberhaupt betroffen? Ich gehe die besser mal aktualisieren.

Schmidicom die Umstellung müsste wie bei einem Port alle Pakete die aktuell glibc benutzen an musl anpassen. Soweit die Theorie. Ich weis auch nicht wie sich das unterscheidet. Aber du musst wissen was dein Programm können soll und wie die Schnittstelle der anderen lib ist. Das müsste man evtl alles anpassen. Einfach mal so ist halt schwierig vermute ich, so wie bei openssl und libressl. Funktionen die man nicht braucht kann man da auch herausschneiden aber ich wollte nur verdeutlichen wie kompliziert das ist.
Back to top
View user's profile Send private message
RcRaCk2k
n00b
n00b


Joined: 14 May 2006
Posts: 14
Location: Freilassing

PostPosted: Mon Feb 22, 2016 8:26 pm    Post subject: Reply with quote

Wie updated man denn die glibc?

glibc ist doch eine Systemkomponente? Hat das zur Folge, dass fast das ganze System neu kompiliert wird?

Ist ein Neustart des Servers nach dem Einspielen des Updates notwendig?
Back to top
View user's profile Send private message
Klaus Meier
Advocate
Advocate


Joined: 18 Apr 2005
Posts: 2903
Location: Bozen

PostPosted: Mon Feb 22, 2016 9:56 pm    Post subject: Reply with quote

Wie man die glibc updated? emerge --sync && emerge -uDN world. Wie jedes Update. Nein, im Zuge eines Updates der glibc muss sonst nichts neu kompiliert werden. Ob ein Neustart notwendig ist, dass ist so eine Frage... Bei Windows ist ja alle 5 Minuten ein Neustart notwendig, bei Gentoo wird man nie darauf hingewiesen, bei Ubuntu z.B. auch nur, wenn es ein Kernelupdate gibt.

Die Tatsache, dass man nie auf einen Neustart hingewiesen wird, bedeutet nicht, dass er nicht nötig ist. Wenn ich den Firefox nutze und er ist geöffnet und nebenbei aktualisiere ich ihn, dann habe ich die aktualisierte Version erst dann, wenn dich den geöffneten Firefox schließe und ihn neu starte.

Von daher sollte man ein Linux im Zweifelsfall schon mal neu starten, auch wenn es nicht explizit gefordert wird. Schaden tut es nie.
Back to top
View user's profile Send private message
Josef.95
Advocate
Advocate


Joined: 03 Sep 2007
Posts: 3626
Location: Germany

PostPosted: Mon Feb 22, 2016 10:44 pm    Post subject: Reply with quote

@RcRaCk2k,
schau dazu auch im [ GLSA 201602-02 ] GNU C Library
Und ja, ein reboot ist nach dem Update anzuraten.
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum