ISN 2025-21: Sicherheitslücke in Glibc
Erstveröffentlichung: 3. Juni 2025
CVSS 3.1: 7.8 (Hoch)
CVSS 3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Zusammenfassung
In Glibc, der in IGEL OS verwendeten C-Bibliothek, wurde eine Sicherheitslücke entdeckt. Betroffen sind die folgenden Produktversionen:
IGEL OS 12
IGEL OS 11
Details
Die GNU C-Bibliothek (glibc) weist eine Sicherheitslücke im Umgang mit der Umgebungsvariable LD_LIBRARY_PATH in statisch gelinkten SetUID-Binärdateien auf, die dlopen aufrufen. Das Problem kann dazu führen, dass Bibliothekscode geladen wird, der unter der Kontrolle eines Angreifers steht.
Diese Sicherheitslücke wurde zunächst als kritisch eingestuft, später jedoch auf „hoch” herabgestuft. Der Grund: Sie kann nur lokal und nicht über das Netzwerk ausgenutzt werden.
Update-Anweisungen
OS 12: Aktualisieren Sie auf OS 12.7.0, sobald diese Version verfügbar ist (geplant für den 4. Juni).
OS 11: Aktualisieren Sie auf 11.10.310, sobald diese Version verfügbar ist (geplant für den 4. Juni).
Quellen
CVE-2025-4802: https://www.cve.org/CVERecord?id=CVE-2025-4802