LINUX.ORG.RU

Серьёзная уязвимость в Glibc с возможностью удалённой эксплуатации

 , ,


0

3

В системной библиотеке Glibc обнаружена серьёзная уязвимость СVE-2015-7547. Переполнение буфера приводит к выполнению произвольного кода при получении специально сформированного ответа от DNS-сервера. Злоумышленник может достичь этого несколькими путями, например, с помощью MitM-атаки с подменой ответа DNS-сервера или захвата самого DNS-сервера.

Сообщение об ошибке, в результате анализа которого и удалось обнаружить уязвимость, было отправлено ещё в середине прошлого года. Уже подготовлен рабочий пример эксплоита. Обновления, закрывающие уязвимость, выпущены для RHEL и Debian.

В качестве одной из мер безопасности можно использовать DNSCrypt, надёжно защищающий от MitM-атак и подделки ответов DNS-сервера.

>>> Подробности

anonymous

Проверено: subwoofer ()
Последнее исправление: Deleted (всего исправлений: 1)

В качестве одной из мер безопасности можно использовать DNSCrypt, надёжно защищающий от MitM-атак и подделки ответов DNS-сервера.

По второй ссылке пишут несколько более простое решение с обрезанием dns пакетов больше 2К

arcanis ★★★★
()
Ответ на: комментарий от arcanis

ИЧСХ недавно же CVE-2015-0235 была в том же (или около) модуле.

arcanis ★★★★
()

MitM-атаки с подменой ответа DNS-сервера

DNSCrypt только для клиента, который это поддерживает? Ведь нельзя же простенький девайс на это настроить. Тогда DNSCrypt по моей догадке должен поддерживать оба режима. НО... злоумышленник не может сделать так что сервер будет думать что работает с упрощенным устройством?

I-Love-Microsoft ★★★★★
()
Ответ на: комментарий от I-Love-Microsoft

Ubuntu? хотя я неуловим, чо парюсь ;)

Сказали же, для Debian выпустили обновление. Значит и в убунту затянут.

segfault ★★★★★
()

Обновления, закрывающие уязвимость, выпущены для RHEL и Debian.

Означает ли это, что Fedora 22 тоже получила эти обновления?

Desmond_Hume ★★★★★
()
Ответ на: комментарий от I-Love-Microsoft

DNSCrypt можно поднять на роутере под OpenWRT. И принудительно завернуть на роутер весь исходящий по 53 порту от клиентов трафик, чтобы они не могли использовать никакой сторонний DNS.

Бонусом получаем отсутствие ведения логов на сервере (если, конечно, доверяем словам владельца сервера) и поддержку доступа к доменным зонам .lib (зависит от того, настроен ли на сервере emcDNS), где уже есть flibusta.lib, nnm-club.lib и rutracker.lib

anonymous
()

Если я правильно понял, что рекомендуют делать:

iptables -I INPUT -p tcp -m tcp --sport 53 -m length --length 512:65535 -m comment --comment "СVE-2015-7547" -j DROP
iptables -I INPUT -p udp -m udp --sport 53 -m length --length 1024:65535 -m comment --comment "СVE-2015-7547" -j DROP

На клиенте поможет. На DNS-сервере так нельзя - поломает zone transfer.

selivan ★★★
()
Последнее исправление: selivan (всего исправлений: 1)

Обновления, закрывающие уязвимость, выпущены для RHEL и Debian.

Какая неожиданность. Но на сервер лора все равно ставят центос, а не дебиан.

xtraeft ★★☆☆
()

как хорошо что я на FreeBSD сижу а то уже без слез не взглянешь как не новая неделя так новая уязвимость в линуксе

anonymous
()
Ответ на: комментарий от Deleted

Как обычно.
Я подозреваю, что PoC через днс - это только один вектор эксплуатации, наверное есть и другие способы.

xtraeft ★★☆☆
()
Ответ на: комментарий от anonymous

Дык потому что забили давно на этот FreeBSD и аудит гораздо меньше человек делает ибо - да кому он нужен.

RafaelRS
()

захвата самого DNS-сервера.

физического? ну тогда можно вообще что угодно подменить

upcFrost ★★★★★
()

Ну можно же было не заявлять публично вот так всё и сразу. RHEL + Debian — далеко не все пользователи Linux.

IceWindDale
()
Ответ на: комментарий от ZenitharChampion

Да, всего то надо получить доступ к их днс серверам.

xtraeft ★★☆☆
()
Ответ на: комментарий от IceWindDale

Заявили в соответствии с рекомендациями. А то, что какие-то маргинальные дистрибутивы не успевают, то невелика беда. Их пользователи все как один неуловимые.

anonymous
()

Обновил своё хозяйство, ребутнул всё. Немного до планоговго update-day (у меня это 21 число) не дотянуло.

MrClon ★★★★★
()

хахахахахаха сообщение было отправленно черт знает когда, а линуксоиды в большинстве своем даже с печи не слезли. Вот тебе и миллионы глаз! Или миллионы мух?

SliFly
()

А я думаю чего это вчера libc6 обновилась.

Polugnom ★★★★★
()

надо ли ребутится?...

А вот интересно, обновление накатил, а перегружать сервак обязательно? Или можно как-то саму библиотеку рестартавать что ли... :) Какая служба ее использует?

zv_X
()
Ответ на: комментарий от anonymous

nnm-club.lib и rutracker.lib

Ого! Вот про то что у этих ребят есть домен в зоне .lib я не знал. Флибустой пользуюсь давно через домен .lib

Pinkbyte ★★★★★
()
Ответ на: надо ли ребутится?... от zv_X

Какая служба ее использует?

glibc что использует ? Ну-ну... Всё практически её использует.

AS ★★★★★
()
Ответ на: комментарий от IceWindDale

Ну можно же было не заявлять публично вот так всё и сразу.

А, думаешь, заявили сразу ? Можно посмотреть, у кого уже есть обновления. И будет понятно, что все эти люди выложили обновления в час Ч, когда было объявлено. Но не раньше.

AS ★★★★★
()
Ответ на: комментарий от xtraeft

Обновления, закрывающие уязвимость, выпущены для RHEL и Debian.


Какая неожиданность. Но на сервер лора все равно ставят центос, а не дебиан.


Центось ночью обновилась, умерь батхёрт.

d_a ★★★★★
()

было отправлено ещё в середине прошлого года

Сказочные долбоебы. Им чувак все детально по строчкам кода разобрал и объяснил, где продолб. А они полгода сопли жевали и спрашивали всякую херню типа

Robert, you need to tell us which function you call, with which parameters.

slonopotamus
()
Ответ на: комментарий от slonopotamus

По стилю вопроса похоже на наших друзей с солнечного полуострова на букву И, так что неудивительно.

sT331h0rs3 ★★★★★
()
Последнее исправление: sT331h0rs3 (всего исправлений: 1)

что в мире творится! стабильности нет.

хорошо, что у меня под OpenBSD

buratino ★★★★★
()
Ответ на: комментарий от anc

наоборот tcp 1024, udp 512

Да. Но поправить сообщение ЛОР уже не даёт :(

На DNS-сервере так нельзя - поломает zone transfer.

Почему?

Потому что зона обычно весит больше 1024 байт. Хотя, можно ещё сверху прописать исключения для доверенных серверов

selivan ★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.