GNU C Library mit kritischer Schwachstelle

Angreifende können die Sicherheitslücke ausnutzen, um DLL-Dateien (dynamische Bibliotheken) einzuschleusen. Diese Dateien können sie im Anschluss für einen RCE-Angriff (Remote Code Execution) ausführen. Ein PoC (Proof of Concept) ist verfügbar, was die Wahrscheinlichkeit einer Ausnutzung erhöht. Ursache für die Lücke ist eine mögliche Manipulation der Umgebungsvariablen LD_LIBRARY_PATH. Betroffen sind weltweit potenziell Millionen von Linux-Systemen. Jedoch ist bislang keine Ausnutzung durch Kriminelle bekannt.

Betroffen sind die Versionen 2.27 (2018) bis 2.38 (2023) der Bibliothek. Die Lücke wurde zwar erst Mitte Mai 2025 veröffentlicht, aber bereits 2023 mit Version 2.39 – unbewusst – geschlossen.

Dies ist Veröffentlichungen mehrerer Medien zu entnehmen.

Die GNU C Library ist die Basis-C-Bibliothek unter Linux und anderen Unix-Betriebssystemen. Sie stellt die Systemaufrufe und Basisfunktionalität bereit. Die Schwachstelle hat die Kennung CVE-2025-4802 und der CVSS-Base-Score wurde mit 9.8/10 berechnet.

Aktualisieren Sie die GNU C Library auf Version 2.39 oder höher.