Corpus Solutions

CYBERSECURITY EXPERTS
EN
☰ Menu

Varování: Zranitelnost GHOST v Linux GNU C library

29. 01. 2015

V jedné ze základních knihoven operačních systémů s jádrem Linux (glibc) byla společností Qualys zjištěna zranitelnost, která je velmi snadno zneužitelná ke způsobení pádu aplikace (útok typu Denial of Service) a v některých případech i ke spuštění kódu. Zranitelnost je způsobena chybou v implementaci volání pro překlad doménových jmen na IP adresu (gethostbyname), odtud i označení GHOST, které je spouštěno velkým množstvím aplikací, které jsou tím pádem potenciálně zranitelné.

Klasifikace zranitelnosti (dle CVSS v2 Vector Definitions):

CVSS v2 Base Score: 6.8 (AV:N/AC:M/Au:N/C:P/I:P/A:P)

Impact Subscore:          6.4

Exploitability Subscore: 8.6

Popis zranitelnosti:

Zranitelnost je způsobená nesprávnou kontrolou délky zpracovávaného textu během volání pro překlad doménového jména na IP adresu gethostbyname, takže může dojít k přepsání paměti a následně pádu aplikace příp. spuštění útočníkova programu. Toto volání je používáno velkým množstvím programů, obvykle pro iniciaci síťového spojení nebo pro logování či validaci dat. Pokud je tedy doménové jméno součástí dat, např. uvedené v poštovní zprávě, tak může být ve formátu, který způsobí nekorektní fungování volání a zmíněný pád programu či spuštění kódu.

Chyba existuje od roku 2000 a v poslední verzi glibc byla odstraněna již v roce 2013, ale oprava nebyla implementována do starších verzí, pravděpodobně proto, že si programátor neuvědomil, že chyba má tak zásadní dopad na bezpečnost.

Reference:

Zranitelné verze:

Bude doplněno. Prakticky všichni výrobci distribucí Linux mají vlastní verze knihovny glibc. Publikují opravné balíky, které opravu chyby implementují do verze, která je součástí podporovaných distribucí.

Opatření k zabránění zneužití zranitelnosti:

Vzhledem k tomu, že prakticky nelze sestavit úplný seznam aplikací, které jsou zranitelné, opatření k zabránění zneužití jsou jen velmi obtížně realizovatelná.

Opatření k odstranění zranitelnosti:

Odstranění zranitelnosti spočívá v nasazení opravené verze knihovny. Protože knihovnu používají prakticky všechny programy, bude je po nahrazení knihovny třeba restartovat. Garantovaný způsob restartování všech programů je pak restart operačního systému.

U systémů ve správě Corpus Solutions provedeme v nejbližší době opatření pro eliminaci tohoto problému a zákazníky budeme průběžně informovat  prostřednictvím standardních komunikačních mechanizmů.