14-letni GHOST straszy użytkowników Linuksa, łatki na glibc już dostępne Strona główna Aktualności28.01.2015 16:39 Udostępnij: O autorze Adam Golański @eimi W listopadzie zeszłego roku Microsoft załatał w swoim systemie operacyjnym poważną lukę, która „zadebiutowała” 18 lat wcześniej, jeszcze w Windows 95. Linux okazał się niewiele gorszy – ujawniona przez badaczy z firmy Qualys luka GHOST ukrywała się w systemie przez ponad 14 lat. Zagrożenie jest nietrywialne: dotyczy kluczowego komponentu systemu, pozwala na zdalne uruchomienie złośliwego kodu i obejście praktycznie wszystkich zabezpieczeń. Lista podatnych na atak aplikacji jest spora. Wystarczy wysłać złośliwą wiadomość do klienta lub serwera poczty na linuksowej maszynie, by uzyskać dostęp do jej powłoki. Podatne są też są w pewnych okolicznościach narzędzia clockdiff, ping i arping, a także filtr poczty procmail i demon pppd. Winę ponosi błąd przepełnienia buforu w funkcji __nss_hostname_digits_dots(), wbudowanej w kluczową dla Linuksa bibliotekę glibc (implementację biblioteki standardowej języka C). Odkryty podczas audytu kodu glibc błąd można wywołać zarówno lokalnie jak i zdalnie poprzez wszystkie funkcje gethostbyname*(), stosowane przez aplikacje mające dostęp do serwerów DNS, by przekształcić adres w postaci domenowej na adres IP – i stąd też nazwa luki, GHOST (od GetHOST). Opracowany przez badaczy Qualysa exploit pozwolił na zdalne uruchomienie powłoki na zatakowanej maszynie, pomimo wszelkich zabezpieczeń, takich jak PIE, ASLR i NX. Ten błąd w kodzie glibc pojawił się po raz pierwszy w wydaniu 2.2 biblioteki, 10 listopada 2000 roku. Pewne poprawki wprowadzone w 2013 roku, między wydaniami 2.17 i 2.18 miały ograniczyć zagrożenie, ale nie rozpoznano wówczas natury błędu. Wskutek tego w większości dystrybucji o długim okresie wsparcia błąd pozostał – dotknięte są nim m.in. RHEL 6 i 7, CentOS 6 i 7, Debian 7 i Ubuntu 12.04. Z nowszych systemów – odporne są Ubuntu 14.04 i Fedora 20. Dzięki odpowiedzialnemu procesowi ujawnienia 14-letniej luki, nie powinna dłużej już trapić użytkowników, wciąż przecież powszechnie używanych (szczególnie na serwerach) systemów. Nowe wersje glibc pojawiły się w repozytoriach Debiana, Ubuntu, Red Hata i CentOS-a. Póki co Qualys nie wydał gotowego exploita, zrobi to dopiero wtedy, gdy liczba podatnych na atak systemów zmniejszy się o połowę (tzw. połowiczny rozpad podatności). Oprogramowanie Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także Tego exploita można było użyć jeszcze w Windows 95. Lukę załatano po 18 latach 12 lis 2014 Adam Golański Oprogramowanie 63 Heartbleed: luka w OpenSSL od dwóch lat zagraża większości internetowych serwerów 8 kwi 2014 Adam Golański Oprogramowanie 31 Poważna luka w nowym iOS 12.1 umożliwia kradzież „usuniętych" zdjęć z iPhone'a 15 lis 2018 Mateusz Budzeń Oprogramowanie Bezpieczeństwo 34 Luka w VirtualBoksie pozwala wyjść poza maszynę wirtualną i zaatakować hosta 7 lis 2018 Oskar Ziomek Oprogramowanie Bezpieczeństwo 45
Udostępnij: O autorze Adam Golański @eimi W listopadzie zeszłego roku Microsoft załatał w swoim systemie operacyjnym poważną lukę, która „zadebiutowała” 18 lat wcześniej, jeszcze w Windows 95. Linux okazał się niewiele gorszy – ujawniona przez badaczy z firmy Qualys luka GHOST ukrywała się w systemie przez ponad 14 lat. Zagrożenie jest nietrywialne: dotyczy kluczowego komponentu systemu, pozwala na zdalne uruchomienie złośliwego kodu i obejście praktycznie wszystkich zabezpieczeń. Lista podatnych na atak aplikacji jest spora. Wystarczy wysłać złośliwą wiadomość do klienta lub serwera poczty na linuksowej maszynie, by uzyskać dostęp do jej powłoki. Podatne są też są w pewnych okolicznościach narzędzia clockdiff, ping i arping, a także filtr poczty procmail i demon pppd. Winę ponosi błąd przepełnienia buforu w funkcji __nss_hostname_digits_dots(), wbudowanej w kluczową dla Linuksa bibliotekę glibc (implementację biblioteki standardowej języka C). Odkryty podczas audytu kodu glibc błąd można wywołać zarówno lokalnie jak i zdalnie poprzez wszystkie funkcje gethostbyname*(), stosowane przez aplikacje mające dostęp do serwerów DNS, by przekształcić adres w postaci domenowej na adres IP – i stąd też nazwa luki, GHOST (od GetHOST). Opracowany przez badaczy Qualysa exploit pozwolił na zdalne uruchomienie powłoki na zatakowanej maszynie, pomimo wszelkich zabezpieczeń, takich jak PIE, ASLR i NX. Ten błąd w kodzie glibc pojawił się po raz pierwszy w wydaniu 2.2 biblioteki, 10 listopada 2000 roku. Pewne poprawki wprowadzone w 2013 roku, między wydaniami 2.17 i 2.18 miały ograniczyć zagrożenie, ale nie rozpoznano wówczas natury błędu. Wskutek tego w większości dystrybucji o długim okresie wsparcia błąd pozostał – dotknięte są nim m.in. RHEL 6 i 7, CentOS 6 i 7, Debian 7 i Ubuntu 12.04. Z nowszych systemów – odporne są Ubuntu 14.04 i Fedora 20. Dzięki odpowiedzialnemu procesowi ujawnienia 14-letniej luki, nie powinna dłużej już trapić użytkowników, wciąż przecież powszechnie używanych (szczególnie na serwerach) systemów. Nowe wersje glibc pojawiły się w repozytoriach Debiana, Ubuntu, Red Hata i CentOS-a. Póki co Qualys nie wydał gotowego exploita, zrobi to dopiero wtedy, gdy liczba podatnych na atak systemów zmniejszy się o połowę (tzw. połowiczny rozpad podatności). Oprogramowanie Udostępnij: © dobreprogramy Zgłoś błąd w publikacji