Kritická zranitelnost the GHOST vulnerability (CVE-2015-0234)
30.01.2015
Kritická zranitelnost the GHOST vulnerability (CVE-2015-0234)

​​Upozorňujeme na velmi závažnou zranitelnost většiny linuxových distribucí využívající glibc knihovnu. Zranitelnost dostala označení CVE-2015-0234, všeobecně se spíše nazývá The GHOST vulnerability.

 

O co se jedná

GHOST vulnerability využívá zranitelnosti glibc knihovny, jenž je nedílnou součástí veškerých linuxových distribucí. Jedná se v podstatě o implementaci standartní knihovny jazyka C spolu s částí nezbytnou pro práci jádra systému. Zranitelnost umožní útočníkovi převzít plnou kontrolu nad systémem, využitím bugu jenž při dotazu GetHost vyvolá přetečení zásobníku. Funkce GetHost supluje DNS lookup jelikož překládá mezi názvy stanic a IP adresami. Funkce používá mechanismus, který na vstupu určuje, zda je na vstupu IP adresa nebo jméno, pokud ovšem na vstup útočník pošle IP adresu nesmyslné velikosti 1234.124525.1314.13134, zapříčiní přetečení zásobníku a následný kolaps systému. Touto cestou je možno získat plnou kontrolu nad stanicí.

 

Zranitelné systémy

Tato zranitelnost napadá pouze linuxové systémy. Primárně jsou v nebezpečí:

  • Centos 6 & 7
  • Debian 7
  • Red Hat Enterprise Linux 6 & 7
  • Ubuntu 10.04 & 12.04
  • Veškeré nepodporované starší verze

 

Jak se bránit

Ujistěte se, že máte knihovnu glibc (GNU C) v nejaktuálnější verzi 2.18. Veškeré systémy, jenž využívají verze knihovny glbic 2.2 až 2.17 jsou v nebezpečí a je nezbytné je přepatchovat.

 

Jak zjistíte verzi vaší knihovny

Debian & Ubuntu – verzi glibc zjistíte pomocí dotazu na verzi ldd ve formě:
ldd –version
V prvním řádku výstupu najdete verzi eglibc, což je glibc knihovna v prostředí Debin a Ubuntu. Váš systém je v bezpečí pokud vaše knihovna odpovídá, či je novější než možnosti vypsány níže.

  • Ubuntu 12.04 LTS: 2.15-0ubuntu10.10
  • Ubuntu 10.04 LTS: 2.11-1-0ubuntu7.20
  • Debiant 7 LTS: 2.13-38+deb7u7

CentOS & RHEL – verzi glibc zjistíte příkazem:
rpm –q glibc
Výstup by měl vypadat zhruba takto: glibc-2.12-1.132.el6_5.4.x86_64 , stejně, jako v předchozím případě pokud je vaše verze stejná nebo novější, než níže zmíněné, je vás systém v bezpečí.

  • CentOS 6: glibc-2.12-1.149.e16_6.5
  • CentOS 7: glibc-2.17-55e.17_0.5
  • RHEL 5: glibc-2.5-123.el5_11.1
  • RHEL 6: glibc-2.12-1.149.el6_6.5
  • RHEL 7: glibc-2.17-55.el7_0.5

 

Doporučení

Pokud váš systém využívá glibc knihovny starší než v uvedených seznamech, silně doporučujeme updatovat verzi knihovny pro zajištění bezpečnosti.

Více podrobností je k dispozici na vyžádání.