LINUX.ORG.RU

Критическая уязвимость в glibc (CVE-2015-0235)

 ,


3

3

Сегодня была обнаружена и успешно исправлена чрезвычайно опасная уязвимость в стандартной библиотеке glibc. Она заключалась в переполнении буфера внутри функции __nss_hostname_digits_dots(), которую, в частности, используют такие известные функции glibc как gethostbyname() и gethostbyname2(). В худшем для пользователя случае на уязвимой системе злоумышленник может добиться выполнения произвольного кода.

Проблема была исправлена коммитом еще в 2013-м году в glibc 2.18, однако многие дистрибутивы еще не успели перейти на эту версию. Сообщается, что самая ранняя уязвимая версия — 2.2 от 10 ноября 2000. В числе прочих уязвимыми оказались дистрибутивы RHEL 5.x, 6.x и 7.x.

Для большей уверенности и проверки своей системы вы можете воспользоваться небольшой утилитой, предложенной самими исследователями, текст которой (на C) можно взять на Github:

wget https://gist.githubusercontent.com/koelling/ef9b2b9d0be6d6dbab63/raw/de1730049198c64eaf8f8ab015a3c8b23b63fd34/gistfile1.c
gcc gistfile1.c -o CVE-2015-0235
./CVE-2015-0235

Нашедшие уязвимость хакеры из Qualys уже присвоили ей кодовое имя GHOST. Сейчас они вплотную подошли к написанию боевого модуля к Metasploit.

>>> Подробности

★★★★★

Проверено: maxcom ()
Последнее исправление: maxcom (всего исправлений: 6)
./CVE-2015-0235

not vulnerable

(Debian EGLIBC 2.13-38+deb7u6) 2.13

Crunchbang.

Все ОК. Систему не обновлял больше месяца.

А, наверно, все потому, что EGLIBC?

Twissel ★★★★★
()
Ответ на: комментарий от thriller

Вон, тут тоже пишут 2.13-38+deb7u6

Я оттуда и взял ссылку.

CYB3R ★★★★★
()

Сегодня была обнаружена и успешно исправлена
Проблема была исправлена коммитом еще в 2013-м году

Хм...

AS ★★★★★
()
Ответ на: Безопасность открытых проектов - иллюзия от seyko2

Во-первых, почти весь GNU софт — трудно читаемый и очень долго компилируемый. Может, по-другому не умеют.

Ну уж куда им до таких мастодонтов программирования как Вы! У Вас ведь есть что нам показать (проектик какой-нибудь), чтобы просветить наше дремучее существование.

void_ptr ★★★★
()
Ответ на: комментарий от anonymous

11 января 2014. Год назад. Они знали!!

Справедливости ради надо заметить, что glibc 2.17-alt8 в стабильные p7/t7 попал только 23/01/15, хотя в Сизифе, действительно, лежит уже больше года.

AS ★★★★★
()

А для танкистов...

Как оно в теории то хоть удаленно работает???

Что должно наружу торчать чтоб была опасность?

Не совсем понятно как этим поломать вэб сервер...

anonymous
()
Name        : glibc
Arch        : x86_64
Version     : 2.17
Release     : 21.fc19
Deliverance ★★
()
Ответ на: комментарий от fero

«открывая исходники, разработчик в том числе говорит: «Ребзя, мне нечего скрывать! Я ничего против вас не замышляю!»»

Хомячки так думают, и поэтому бэкдоры АНБ и МИ6 никто не находит годами. Ведь это опенсорц, и тысячи зорких глаз, фигли.

anonymous
()
Ответ на: комментарий от anonymous

«по сравнению с закрытым софтом код обычно на порядок лучше.»

Сколько раз «халва» не говори, слаще не станет. Прошло 23 года, а в ОС как не было нормального софта, так и нет. Зато «код на порядок лучше».

anonymous
()
Ответ на: вполне рядовой пипл от seyko2

Каким боком они вполне рядовой пипл? Откуда такие навыки в audit & exploit?

Рядовой не по навыкам, а относительно разработки glibc. В комменте, на который я отвечал, утверждалось, что «ОШИБКИ находятся правятся только разработчиками проектов». Или я чего-то не знаю, а Qualys занимаются разработкой glibc?

dexpl ★★★★★
()
Ответ на: комментарий от AS

Поддержка по ним давно прекращена

ну фиг с p5 он протух давно, но разве близнец p6 не поддерживается (СПТ) ?

anonymous
()
Ответ на: комментарий от anonymous

не ip, а хостнейм, который парсится как ip. в ehlo, вестимо.

anonymous
()
Ответ на: комментарий от dexpl

Было бы нечем заняться, уже бы развернул генту!

А так — боязно. Если "вдруг срочно" понадобится что-то, а придется настройки ковырять... да и этот чертов apache2 — не жрет же, собака, старые настройки, а в новых разбираться долго.

Ну, а т.к. у генты лишь одна альтернатива — слака, то только гента и остается! Больше дистрибутивов линукс не осталось, к сожалению.

Eddy_Em ☆☆☆☆☆
()
Ответ на: комментарий от Eddy_Em

Хотя, чего удивляться, если я не обновляюсь с конца 2012-го года?
Жду, пока совсем сдохнет мой арчик.

Так обновись же, он и сдохнет.

imul ★★★★★
()
Ответ на: комментарий от anonymous

Хомячки так думают, и поэтому бэкдоры АНБ и МИ6 никто не находит годами. Ведь это опенсорц, и тысячи зорких глаз, фигли.

С этого можно сделать вывод, что проприетарщина состоит из бэкдоров АНБ и МИ6 чуть менее чем полностью.

Deliverance ★★
()
Ответ на: комментарий от full_inu

Ткните меня носом в пример, когда в багзилле пипл (рядовой) открыл тикет с описанием CVE и примером кода

subj. багу нашли «сторонние» люди.

DonkeyHot ★★★★★
()
Ответ на: комментарий от imul

Если бы я хотел, чтобы мой рачик покончил жизнь самоубийством, обновился бы еще 2 года назад =D

Eddy_Em ☆☆☆☆☆
()

Сегодня была обнаружена
Проблема была исправлена коммитом еще в 2013-м году в glibc 2.18

так когда все-таки была обнаружена?

autonomous ★★★★★
()
Ответ на: комментарий от dexpl

Не понял

Леню поца знаешь? Этот урод загадил уже много дистрибутивов своим шлаком вроде avahi, pulseaudio и (тадам!) systemd. И если первый поцтерошлак не был обязателен (разве что тупые мелкорылые придурки в последнем скайпе забульбенили зависимость от PA, но хорошие люди написали эмуляцию этого говна), то ненужноD стали активно пихать во все хомяческие дистрибутивы.

Хомячки в восторге. Линуксокапец не за горами.

Eddy_Em ☆☆☆☆☆
()
Ответ на: комментарий от anonymous

но разве близнец p6 не поддерживается (СПТ)

Он несовсем близнец, обновления для него делаются отдельно, а не берутся из p6 (хотя некоторые, наверное, берутся). И имеет место коллизия - даже критическое обновление поставить нельзя без его сертификации. На сколько я всю эту кухню с СПТ понимаю.

AS ★★★★★
()
Ответ на: Безопасность открытых проектов - иллюзия от seyko2

PS: в gnu-софте нет персональной ответственности, нет разборок: кто вёл проект, кто залил, кто проверял-одобрял commit.

Вообще-то все изменения от персон отражены в логах коммитов.

Насчёт ответственности: практически во всех проектах недвусмысленно разжевано про ответственность, обычно в текстах лицензий. Кто-то персонально отвечает за баги например IE, Adobe Flash, ActiveX, COM/DCOM/OLE/VBS/DOC, кнопку пуск и тому подобное? Где эти герои? Уже есть случаи показательной порки за баги? Кому-то уже выплатили компенсации за дырки и некачественный софт? Кто-то в здравом уме подпишется под такими контрактами?

Мечтать не вредно о мирах, где ответственность реализуется посредством палочной системы и угрозами. Вот тогда заживём! Виновные найдены. Главное найти виноватых стрелочников. Причины не существенны. Нет человека - нет проблемы?

Код программы слишком хрупкая вещь чтобы кто-то взял ответственность. Никто ничего не гарантирует. Да и невозможно это. Если только повесить ответственность или сделать человека виновным или должником...

Можно только реализовывать более-менее безопасные подходы и концепции. Повышать культурку и сознательность.

Баги и дырки неизбежны. Другой вопрос об открытости этого. Если на предприятии есть служебный чёрный ход, то конечно его не закроют пока общественность молчит... Так и с закрытым кодом - что там под капотом лишь можно догадываться...

anonymous
()

Проблема была исправлена коммитом еще в 2013-м году в glibc 2.18, однако многие дистрибутивы еще не успели перейти на эту версию.

не успели перейти на эту версию

Э... Я правда не знаю, зачем задерживать обновление. Кто объяснит?

a1batross ★★★★★
()
Ответ на: комментарий от backspace

Отнюдь. Линукс и так уже в говно скатился почти. Раньше все элементарно можно было сделать, а сейчас запаришься настраивать!

А уж что с GUI сделали, так вообще жесть!

Eddy_Em ☆☆☆☆☆
()
Ответ на: комментарий от Eddy_Em

Я понятия не имею что он там делает со своим... системд, не пользуюсь, не интересуюсь.

Хотя если уж развивать такую мысль(остальное даже я не воспринимаю всерьёз), может ему было выгодно задерживать glibc с уязвимостью?

a1batross ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.