Es besteht ein Fehler in der glibc-Bibliothek, der in der Nutzung der Funktion getaddrinfo() besteht, also in der Auflösung von Netzwerknamen, und via Man-in-the-Middle-Attacken dazu ausgenutzt wird, über Pufferüberläufen den Rechner zu übernehmen.
Fehler-Nummer: CVE-2015-7547
Quelle: http://www.heise.de/newsticker…rkfunktionen-3107621.html
Ist diese Lücke im QNAP-System bereits behoben oder sind noch alle QNAP-Boxen bis heute davon betroffen??? (Einige Linux-Distributionen, z.B. OpenSuSE und NAS-Hersteller Synology haben bereits darauf reagiert!)
In meiner QNAP-Box ergab das simple Kommando "/lib/libc-2.6.1.so" (oder "ldd --version") folgende Auskunft:
>GNU C Library stable release version 2.6.1, by Roland McGrath et al.
>Copyright (C) 2007 Free Software Foundation, Inc.
>This is free software; see the source for copying conditions.
>There is NO warranty; not even for MERCHANTABILITY or FITNESS FOR A
>PARTICULAR PURPOSE.
>Compiled by GNU CC version 4.1.3 20070929 (prerelease) (Ubuntu 4.1.2-16ubuntu2).
>Compiled on a Linux >>2.6.22-14-server<< system on 2015-01-29.
>Available extensions:
> crypt add-on version 2.1 by Michael Glad and others
> GNU Libidn by Simon Josefsson
> Native POSIX Threads Library by Ulrich Drepper et al
> BIND-8.2.3-T5B
>For bug reporting instructions, please see:
><http://www.gnu.org/software/libc/bugs.html>.Weiß jemdand, ob dieser Versionsstand bereits den Patch enthält (ich glaube nämlich nicht, wenn man sich das Datum der Kompilierung ansieht) ?
Grüße
Hans
