Mehrere Sicherheitslücken mit CVSS Score 9.8 / 10 wurden in der Ubuntu Softwarebibliothek klibc behoben, die in verschiedenen Versionen des Ubuntu-Betriebssystems verwendet wird. Die Schwachstellen erlauben Angreifern beliebigen Code auszuführen oder das betroffene System zum Absturz zu bringen, ohne dass dieser sich davor authentifizieren muss.
Betroffen sind eine ganze Reihe Versionen, darunter Ubuntu 23.10, Ubuntu 22.04 LTS, Ubuntu 20.04 LTS, sowie die Extended Security Maintenance (ESM) Releases von Ubuntu 18.04, 16.04 und 14.04. Nutzer dieser Systeme werden dringend aufgefordert, ihre Systeme zu aktualisieren, um die Sicherheitsrisiken zu minimieren. Die aktualisierten Pakete sind:
- Ubuntu 23.10: klibc-utils – 2.0.13-1ubuntu0.1, libklibc – 2.0.13-1ubuntu0.1
- Ubuntu 22.04: klibc-utils – 2.0.10-4ubuntu0.1, libklibc – 2.0.10-4ubuntu0.1
- Ubuntu 20.04: klibc-utils – 2.0.7-1ubuntu5.2, libklibc – 2.0.7-1ubuntu5.2
- Ubuntu 18.04 ESM: klibc-utils: 2.0.4-9ubuntu2.2+esm1, libklibc: 2.0.4-9ubuntu2.2+esm1
- Ubuntu 16.04 ESM: klibc-utils: 2.0.4-8ubuntu1.16.04.4+esm2, libklibc: 2.0.4-8ubuntu1.16.04.4+esm2
- Ubuntu 14.04 ESM: klibc-utils: 2.0.3-0ubuntu1.14.04.3+esm3, libklibc: 2.0.3-0ubuntu1.14.04.3+esm3
Die Sicherheitslücken wurden in der in klibc enthaltenen Version von zlib gefunden. Es handelt sich um Fehler in der Handhabung von Speicheroperationen und Pointer-Arithmetik, die unter bestimmten Bedingungen das Ausführen von beliebigem Code ermöglichen könnten:
- CVE-2016-9840 und CVE-2016-9841: Probleme in der Pointer-Arithmetik könnten zum Absturz führen oder das Ausführen von Code ermöglichen.
- CVE-2018-25032: Fehlerhafte Speicherverwaltung bei bestimmten Deflate-Operationen.
- CVE-2022-37434: Inkorrekte Speicherbehandlung bei bestimmten Inflate-Operationen könnte ebenfalls zum Ausführen von unautorisiertem Code führen.
Ubuntu empfiehlt allen Nutzern, die betroffenen Pakete über die Standard-Systemaktualisierung zu aktualisieren. Mit folgenden Befehlen updaten Sie Ihr System:
sudo apt-get update
sudp apt-get upgrade
anschliessend testen Sie die aktuelle Version mit
dpkg -l | grep klibc-utils
dpkg -l | grep libklibc
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: