Нова уразливість GHOST загрожує популярним дистрибутивам на базі Linux

image

Уразливість в поширених дистрибутивах Linux може дозволити зловмиснику отримати віддалений контроль над системою. Під ударом опинилися користувачів Debian 7 (wheezy), Red Hat Enterprise Linux 6 & 7, CentOS 6 & 7, Ubuntu 12.04.

Інформація про нової уразливості (CVE-2015-0235) бібліотеки glibc (GNU C Library) вперше була опублікована у французькій розсилки. Деякі фахівці вважають, що це було зроблено помилково, так як до того моменту ніхто не встиг підготувати оновлення.

Докладний технічний опис уразливості і експлойт для уразливості можна знайти на Openwall, а перші описи були опубліковані в співтоваристві Rapid 7.

У чому проблема

Фахівцям, які виявили уразливість, вдалося підготувати спеціально сформоване email-повідомлення, що експлуатує уразливість в поштовому сервері Exim під управлінням вразливою версії Glibc. Варто зауважити, що Exim досить широко розповсюджений і в деяких операційних системах є поштовим сервером за замовчуванням. Але крім цього потенційно можуть бути проэксплуатированы і інші програми:

  • SSH-сервери, що використовують DNS-запити при аутентифікації з allow/deny.
  • Поштові сервери з зворотними DNS-запитів.
  • Численні веб-додатки, які за вхідними даними користувача проводять DNS-запити.
  • СУБД MySQL, які проводять провідні аутентифікацію по доменних іменах (MySQL privileges).
Уразливість GHOST була виявлена в бібліотеці (glibc — функції gethostbyname() і gethostbyname2()), що є невід'ємною частиною Linux — десктоп-комп'ютерів під управлінням цієї ОС в усьому світі не так багато, а ось популяція працюють на ній серверів дуже велика, а це означає, що під загрозою може опинитися мережева інфраструктура більшості технологічних проектів. В інших реалізаціях libc (такі як uclibc, musl) вразливість відсутня.

Помилку було присвоєно ім'я GHOST («привид») — скорочення, обыгрывающее назви вразливих функцій gethostbyname() і gethostbyname2().

За однією з версій, заснованих на аналізі метаданих логотипу з червоним привидом, фахівці знали про цю уразливість як мінімум з 2 жовтня 2014 року і дотримувалися умови відповідального розголошення, поки розробники виправляли помилку.

У чому відмінність від Heartbleed і Shellshock

На відміну від уразливості в пакеті OpenSSL Heartbleed, дозволяла зловмисникам читати пам'ять сервера, помилка GHOST дозволяє захоплювати контроль над операційною системою з допомогу віддаленого виконання коду (RCE). Оскільки небезпеки піддаються головним чином сервери, проблема не повинна торкнутися настільки широке коло користувачів, як у випадку Heartbleed, однак під загрозою опиняється інфраструктура більшості інтернет-компаній.

Порівняно з іншою гучною вразливістю Shellshock, експлуатація GHOST складніше, оскільки дозволяє виконувати бінарні інструкції, а не консольні команди — це означає, що для експлуатації необхідно обійти механізми захисту ядра Linux.

Як захиститися

Для того щоб убезпечити свої сервери, необхідно встановити патч (латку), випущену постачальником відповідного Linux-дистрибутива. Інформація про уразливості з'явилася 27 січня, тому вже сьогодні (28 січня) повинні з'явитися перші патчі.

Крім того, ресурс Cyberciti.biz опублікував <a href=«www.cyberciti.biz/faq/cve-2015-0235-patch-ghost-on-debian-ubuntu-fedora-centos-rhel-linux/list-glibc-ghost-vulnerability-affected-services-apps/>інструкцію по виявленню всіх сервісів, додатків і файлів, що виконуються в дистрибутиві, пов'язаних з вразливою бібліотеки glibc (GNU C Library), а також усунути помилку.

image

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.