Vlákno názorů k článku
Zveřejněn exploit na chybu v glibc od zigi - - tak a jak je na tom CentOS...

- tak a jak je na tom CentOS Stream ve srovnání s klony:

• AlmaLinux 9 - released: 06.10.2023 - ALSA-2023-5453
• AlmaLinux 8 - released: 05.10.2023 - ALSA-2023-5455
• Rocky Linux 9 - released: N/A - N/A
• Rocky Linux 8 - released: 10.7.2023 - RLSA-2023:5455

vs.

• CentOS Stream 9 - released: N/A - N/A
• CentOS Stream 8 - released: N/A - N/A
• RHEL 9 - released: 05.10.2023 - RHSA-2023:5453
• RHEL 8 - released: 05.10.2023 - RHSA-2023:5455

viz RH cve-2023-4911

Nechci CentOS Streamům křivdit, protože jsem danou zranitelnost na posledních verzích glibc přímo netestoval, ale v changelogu u balíčků o fixu není ani zmínka. Na druhou stranu poslední verze glibc obsahují dle changelogu opravy pro CVE-2023-4527 a CVE-2023-4813, které jsou součástí výše uvedených SA. Tak třeba jen někdo zapomněl aktualizovat changelog.

Navíc podobná stránka s ERRATA CentOS Streamu opravdu chybí... člověk se jednoduše nedozví o vydaných balíčcích a hlavně security fixech...

Takže v clonových válkách v tomto směru a v tomto případě za mne vede Alma... držím palce a jen tak dál.

9. 10. 2023, 21:12 editováno autorem komentáře

U toho Rocky Linux 9 je to tak, jak píšete. Nejspíš tam opomněli aktualizovat erratu na webu, protože balíček s aktualizací je už pár dní k dispozici. Na některých serverech s RL 9 používám dnf automatic, a tam se mi to podle logu aktualizovalo v pátek ráno a build date je ještě o den dřív.
Balíček glibc v Oracle Linux má kombinaci jejich a upstream patchů, tam to bylo už ve středu.
RHEL 9 samotný to pak měl ještě dříve.
CentOS Stream to opravdu doteď nemá, a proof of concept na https://www.qualys.com/2023/10/03/cve-2023-4911/looney-tunables-local-privilege-escalation-glibc-ld-so.txt to opravdu sestřeluje, takže pokud to chce někdo řešit bez vlastního buildu, tak nezbyde než použít systemtap viz.
https://access.redhat.com/security/cve/cve-2023-4911