14-letni GHOST straszy użytkowników Linuksa, łatki na glibc już dostępne

O autorze

Adam Golański

@eimi

Hodowca maszyn wirtualnych i psów, poza tym stary linuksiarz, bonvivant i śmieszek. W 2012 roku napisał na DP o algorytmie haszowania Keccak i wciąż pamięta, jak on działa.

W listopadzie zeszłego roku Microsoft załatał w swoim systemie operacyjnym poważną lukę, która „zadebiutowała” 18 lat wcześniej, jeszcze w Windows 95. Linux okazał się niewiele gorszy – ujawniona przez badaczy z firmy Qualys luka GHOST ukrywała się w systemie przez ponad 14 lat. Zagrożenie jest nietrywialne: dotyczy kluczowego komponentu systemu, pozwala na zdalne uruchomienie złośliwego kodu i obejście praktycznie wszystkich zabezpieczeń.

Lista podatnych na atak aplikacji jest spora. Wystarczy wysłać złośliwą wiadomość do klienta lub serwera poczty na linuksowej maszynie, by uzyskać dostęp do jej powłoki. Podatne są też są w pewnych okolicznościach narzędzia clockdiff, ping i arping, a także filtr poczty procmail i demon pppd. Winę ponosi błąd przepełnienia buforu w funkcji __nss_hostname_digits_dots(), wbudowanej w kluczową dla Linuksa bibliotekę glibc (implementację biblioteki standardowej języka C).

Odkryty podczas audytu kodu glibc błąd można wywołać zarówno lokalnie jak i zdalnie poprzez wszystkie funkcje gethostbyname*(), stosowane przez aplikacje mające dostęp do serwerów DNS, by przekształcić adres w postaci domenowej na adres IP – i stąd też nazwa luki, GHOST (od GetHOST). Opracowany przez badaczy Qualysa exploit pozwolił na zdalne uruchomienie powłoki na zatakowanej maszynie, pomimo wszelkich zabezpieczeń, takich jak PIE, ASLR i NX.

Ten błąd w kodzie glibc pojawił się po raz pierwszy w wydaniu 2.2 biblioteki, 10 listopada 2000 roku. Pewne poprawki wprowadzone w 2013 roku, między wydaniami 2.17 i 2.18 miały ograniczyć zagrożenie, ale nie rozpoznano wówczas natury błędu. Wskutek tego w większości dystrybucji o długim okresie wsparcia błąd pozostał – dotknięte są nim m.in. RHEL 6 i 7, CentOS 6 i 7, Debian 7 i Ubuntu 12.04. Z nowszych systemów – odporne są Ubuntu 14.04 i Fedora 20.

Dzięki odpowiedzialnemu procesowi ujawnienia 14-letniej luki, nie powinna dłużej już trapić użytkowników, wciąż przecież powszechnie używanych (szczególnie na serwerach) systemów. Nowe wersje glibc pojawiły się w repozytoriach Debiana, Ubuntu, Red Hata i CentOS-a. Póki co Qualys nie wydał gotowego exploita, zrobi to dopiero wtedy, gdy liczba podatnych na atak systemów zmniejszy się o połowę (tzw. połowiczny rozpad podatności).