# glibc Security Problem ?

## Duncan Mac Leod

Frage: Auf heise.de http://www.heise.de/newsticker/meldung/glibc-Dramatische-Sicherheitsluecke-in-Linux-Netzwerkfunktionen-3107621.html stand heute eine Warnung vor glibc.

Weiss jemand, WELCHE Versionen betroffen sind und ob diese Panik-Mache tatsächlich berechtigt ist?

----------

## Klaus Meier

Ist doch längst gefixed. System aktualisieren und Problem gelöst.

Der Artikel bei Heise ist allerdings nichts weiteres als Panikmache. Lies lieber hier:

http://www.golem.de/news/glibc-sicherheitsluecke-gefaehrdet-fast-alle-linux-systeme-1602-119172.html

----------

## Duncan Mac Leod

 *Klaus Meier wrote:*   

> Ist doch längst gefixed. System aktualisieren und Problem gelöst.
> 
> Der Artikel bei Heise ist allerdings nichts weiteres als Panikmache. Lies lieber hier:
> 
> http://www.golem.de/news/glibc-sicherheitsluecke-gefaehrdet-fast-alle-linux-systeme-1602-119172.html

 

Ich setze noch die glibc-2.17 ein, welche sich ja immer noch im Portage Tree befindet bzw. als stable markiert ist.

Ist es da auch gefixed, oder muss ich auf eine höhere upgraden? Es gibt leider keine Infos, welche Versionen davon betroffen sind.

----------

## Klaus Meier

Vom Bug betroffen sind alle Versionen seit 2.9. Also auch deine. Aktuell ist 2.22-r2 für testing und 2.21-r2 stable. Jedenfalls für amd64. Siehe auch hier:

https://packages.gentoo.org/packages/sys-libs/glibc

Für andere Versionen gab es bis jetzt noch keine Updates, du solltest also möglichste auf 2.21-r2 aktualisieren. Wenn du x86 verwendest.gibt es wohl noch keinen Fix.

----------

## franzf

 *Klaus Meier wrote:*   

> Der Artikel bei Heise ist allerdings nichts weiteres als Panikmache. Lies lieber hier:
> 
> http://www.golem.de/news/glibc-sicherheitsluecke-gefaehrdet-fast-alle-linux-systeme-1602-119172.html

 

Weiß nicht wie du zu der Einschätzung kommst. Lesen sich fast gleich, dramatische Überspitzungen - Panikmache - konnte ich bei heise nicht feststellen.

----------

## Klaus Meier

Zum Beispiel wird bei allen Artikeln, die ich gelesen habe, darauf hingewiesen, dass Android nicht betroffen ist. Außer bei Heise. Und dann steht bei Heise am Ende so ein Geschwurbel in Bezug auf Geräte, die nie ein Update bekommen, was ja wohl eindeutig den Eindruck erwecken soll, dass es sich hierbei um Android handelt, ohne es beim Namen zu nennen.

Weiterhin steht da etwas von alle Linux/Unix-Versionen wären betroffen. Was ja auch komplett falsch ist. Die glibc wird in erster Linie von Desktop-Linuxen genutzt. Embeded Devices sind außen vor genauso wie Android und BSD. Betroffen ist kein OS per se sondern nur die, die die glibc verwenden. Und für die gibt es inzwischen ein Update. Das Update gab es schon, bevor Heise diesen Beitrag verkackt hat. Auf Golem gab es den Artikel dazu schon gestern.

Maximale Panikmache bei minimaler Information. Da gibt es Golem, Pro-Linux und derStandard nur mal so auf die Schnelle, wo man ohne Hetze informiert wird. Heise ist doch inzwischen wie Pegida.

Aber Heise hat ja inzwischen auch seine Peinlichkeit erkannt und nachgeschoben, dass Android nicht betroffen ist.

Edit: Des weiteren sollte man einen Screenshot machen, wenn man Heise zitiert. Weil die ihre Beiträge ohne Hinweis ändern und man dann manchmal total dumm dasteht, wenn man sich auf etwas bezieht, was inzwischen geändert wurde. Sehe gerade, der Artikel hat einen Timestamp von 10:24. Ich kann mich aber entsinnen, diesen Artikel schon mindestens 2 Stunden vorher gelesen zu haben, weil ich dann aus dem Haus gegangen bin. Und im aktuellen Artikel wird nur noch auf Linux verwiesen. Ich meine aber, mich erinnern zu können, dass da auch mal Unix drin stand. Wie gesagt, ich habe heute morgen keinen Screenshot angefertigt, um meine Aussage zu belegen, aber alleine die Tatsache mit dem Timestamp, wie gesagt, ich weiß, wann ich heute zur Arbeit gegangen bin und wann ich den Artikel gelesen habe. Meine Arbeit beginnt um 9 Uhr.

Noch ein Edit: Der Artikel bei Golem ist datiert auf den 16.02.2016 16 Uhr 59.

----------

## schmidicom

Nur mal so aus reiner Neugier, was genau müsste man machen um ein Gentoo von sys-libs/glibc auf z.B. sys-libs/musl umzustellen?

----------

## Klaus Meier

Man tippe in eine Findmaschine die Worte "gentoo" und "musl" und erhält als ersten Link folgendes:

https://wiki.gentoo.org/wiki/Project:Hardened_musl

----------

## schmidicom

 *Klaus Meier wrote:*   

> Man tippe in eine Findmaschine die Worte "gentoo" und "musl" und erhält als ersten Link folgendes:
> 
> https://wiki.gentoo.org/wiki/Project:Hardened_musl

 

Weder habe ich ein ein Hardened-Gentoo noch möchte ich so etwas.

EDIT:

Scheinbar gibt es eine Variable mit dem Namen ELIBC welche entscheidet welche Implementation verwendet werden soll aber wie diese geändert werden kann ohne gleich ein Profil aktivieren zu müssen das man gar nicht haben will steht scheinbar nirgends.

----------

## ChrisJumper

Das update der Glibc war schnell da ja, aber selbst mit einem am Heise Artikeltag synchronisierten tree hatte war bis mittag auf amd64 Systemen glaube ich noch kein Patch da. Die 22-r2 wurde da erst als stabil markiert.

Da ich aber immer nach Patches suche und schaue ob im Quellcode die Aktualisierung drin ist, habe ich evtl. Die ungepatchte Grundversion geprüft.

Beim Emerge kommt ja immer "apply patches..." wo genau sind diese Patches gelistet? Beziehungsweise Gespeichert? Im ebuild? Dachte die liegen unter /usr/portage/sys-lib/glibc/files oder so.

Vielleicht wenn ich mit ebuild unpack den Quellcode in temp Verzeichnis entpackt habe dort irgendwo als patch? Würde ja Sinn machen.

War die x86 Version Oberhaupt betroffen? Ich gehe die besser mal aktualisieren.

Schmidicom die Umstellung müsste wie bei einem Port alle Pakete die aktuell glibc benutzen an musl anpassen. Soweit die Theorie. Ich weis auch nicht wie sich das unterscheidet. Aber du musst wissen was dein Programm können soll und wie die Schnittstelle der anderen lib ist. Das müsste man evtl alles anpassen. Einfach mal so ist halt schwierig vermute ich, so wie bei openssl und libressl. Funktionen die man nicht braucht kann man da auch herausschneiden aber ich wollte nur verdeutlichen wie kompliziert das ist.

----------

## RcRaCk2k

Wie updated man denn die glibc?

glibc ist doch eine Systemkomponente? Hat das zur Folge, dass fast das ganze System neu kompiliert wird?

Ist ein Neustart des Servers nach dem Einspielen des Updates notwendig?

----------

## Klaus Meier

Wie man die glibc updated? emerge --sync && emerge -uDN world. Wie jedes Update. Nein, im Zuge eines Updates der glibc muss sonst nichts neu kompiliert werden. Ob ein Neustart notwendig ist, dass ist so eine Frage... Bei Windows ist ja alle 5 Minuten ein Neustart notwendig, bei Gentoo wird man nie darauf hingewiesen, bei Ubuntu z.B. auch nur, wenn es ein Kernelupdate gibt.

Die Tatsache, dass man nie auf einen Neustart hingewiesen wird, bedeutet nicht, dass er nicht nötig ist. Wenn ich den Firefox nutze und er ist geöffnet und nebenbei aktualisiere ich ihn, dann habe ich die aktualisierte Version erst dann, wenn dich den geöffneten Firefox schließe und ihn neu starte.

Von daher sollte man ein Linux im Zweifelsfall schon mal neu starten, auch wenn es nicht explizit gefordert wird. Schaden tut es nie.

----------

## Josef.95

@RcRaCk2k,

schau dazu auch im [ GLSA 201602-02 ] GNU C Library

Und ja, ein reboot ist nach dem Update anzuraten.

----------

