Es gibt wieder neue Sicherheitslücken in glibc. Dabei betrifft eine die syslog()-Funktion, die andere qsort(). Letztere Lücke existiert dabei seit glibc 1.04 und somit seit 1992. Entdeckt und beschrieben wurden die Lücken von der Threat Research Unit bei Qualys.

Die syslog-Lücke ist ab Version 2.37 seit 2022 enthalten und betrifft somit die eher die neuen Versionen von Linux-Distributionen wie Debian ab Version 12 oder Fedora ab Version 37. Hierbei handelt es sich um einen "heap-based buffer overflow" in Verbindung mit argv[0]. Somit ist zwar der Anwendungsvektor schwieriger auszunutzen, weil in wenigen Szenarien dieses Argument (der Programmname) dem Nutzer direkt überlassen wird, die Auswirkungen sind jedoch umso schwerwiegender. Mit der Lücke wird eine lokale Privilegienausweitung möglich. Die Lücke wird unter den CVE-Nummern 2023-6246, 2023-6779 und 2023-6780 geführt.

Bei der qsort-Lücke ist eine Memory Corruption möglich, da Speichergrenzen an einer Stelle nicht überprüft werden. Hierfür sind allerdings bestimmte Voraussetzungen nötig: die Anwendung muss qsort() mit einer nicht-transitiven Vergleichsfunktion nutzen (die allerdings auch nicht POSIX- und ISO-C-konform wären) und über eine große Menge an zu sortierenden Elementen verfügen, die vom Angreifer bestimmt werden. Dabei kann ein malloc-Aufruf gestört werden, der dann zu weiteren Angriffen führen kann. Das Besondere an dieser Lücke ist ihr Alter, da sie bereits im September 1992 ihren Weg in eine der ersten glibc-Versionen fand.

Bei der GNU C-Bibliothek (glibc) handelt es sich um eine freie Implementierung der C-Standard-Bibliothek. Sie wird seit 1987 entwickelt und ist aktuell in Version 2.38 verfügbar. Morgen, am 1. Februar, erscheint Version 2.39.

Um Gesetzgebungsinitiativen auf ihre Digitaltauglichkeit hin zu überprüfen, wird seit 2023 der Digitalcheck unter der Federführung des Bundesministeriums des Innern und für Heimat (BMI) entwickelt und betreut. Die OSB Alliance hat jetzt einen Vorschlag vorgelegt, wie der Digitalcheck um Aspekte von digitaler Souveränität, Open Source Software und offenen Standards ergänzt werden kann, um die Verwaltungsdigitalisierung nachhaltiger und effizienter zu gestalten.

Quelle

ONLYOFFICE veröffentlicht Version 8.0 mit neuen Features, darunter die Erstellung und Ausfüllung von PDF-Formularen, verbesserte Barrierefreiheit durch vollständige Screen-Reader-Nutzung und Unterstützung von bidirektionalem Text. Weitere Funktionen wie Zielwertsuche und überarbeitete UI-Plugins sind integriert.

Quelle

Ein Jahr mussten die Fans von Vanilla OS auf die zweite Veröffentlichung dieses Next-Gen-Betriebssystems warten. Jetzt liegt eine Beta zum Testen vor.

Quelle

Ab sofort gibt es die spezielle Linux-Distribution Tails 5.22 (The Amnesic Incognito Live System) mit neuen Funktionen. Beim Tor Browser kannst Du ab sofort Dateien in mehr Ordnern speichern. Das sind: Dokumente, Downloads, Musik, Bilder und Videos. Zudem kannst Du Dateien auch aus diesen Ordnern hochladen. Das ist eine ziemliche Erleichterung, muss ich zugeben. Bisher musste ich Dateien immer jonglieren und an einen Ort kopieren oder verschieben, den ich mit Tor Browser benutzen konnte. Das war mitunter ganz schön nervig. […]

Der Beitrag Tails 5.22 mit neuen Funktionen – sämtlicher Traffic durch Tor ist von bitblokes.de.