The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"Удалённо эксплуатируемая уязвимость в Glibc"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Удалённо эксплуатируемая уязвимость в Glibc"  +/
Сообщение от opennews (??) on 16-Фев-16, 20:42 
Исследователи безопасности из компаний Google и Red Hat выявили (https://sourceware.org/ml/libc-alpha/2016-02/msg00416.html) опасную уязвимость (СVE-2015-7547 (https://security-tracker.debian.org/tracker/CVE-2015-7547)) в системной библиотеке Glibc. Уязвимость проявляется (https://googleonlinesecurity.blogspot.ru/2016/02/cve-2015-75...) при вызове функции getaddrinfo() и может привести к выполнению кода в системе в случае возврата DNS-сервером специально оформленного ответа, который может быть сформирован злоумышленником в результате MITM-атаки или при получении контроля над DNS-сервером, отвечающим за отдачу запрошенной обратной зоны.

Проблема вызвана переполнением буфера в NSS-модуле nss_dns, которое присутствует в обработчиках  запросов как по UDP (send_dg), так и по TCP (send_vc). Уязвимость проявляется при вызове функции  getaddrinfo в режимах AF_UNSPEC или AF_INET6 (в ряде случаев), использование которых приводит к одновременной отправке двух запросов для получения данных для типов записей A (IPv4) и AAAA (IPv6). Суть проблемы в том, что буфер для сохранения результата создаётся ненадлежащего размера и хвост ответа записывается в область стека за пределом буфера. Для демонстрации уязвимости подготовлен (https://github.com/fjserna/CVE-2015-7547) рабочий прототип эксплоита.

Исправление пока доступно в виде патча. Обновления с устранением уязвимости пока выпущены только для Debian (eglibc (https://lists.debian.org/debian-security-announce/2016/msg00...),  glibc (https://lists.debian.org/debian-security-announce/2016/msg00...)). Оценить появление обновлений в других дистрибутивах можно на следующих страницах: RHEL 6 (https://rhn.redhat.com/errata/rhel-server-6-errata.html), RHEL 7 (https://rhn.redhat.com/errata/rhel-server-7-errata.html), Ubuntu (http://www.ubuntu.com/usn/), Fedora (https://admin.fedoraproject.org/updates/),openSUSE (http://lists.opensuse.org/opensuse-security-announce/), SLES (https://www.suse.com/support/update/), Slackware (http://www.slackware.com/security/list.php?l=slackware-secur...), Gentoo (http://www.gentoo.org/security/en/index.xml), CentOS (http://lists.centos.org/pipermail/centos-announce/).

URL: http://openwall.com/lists/oss-security/2016/02/16/3
Новость: https://www.opennet.ru/opennews/art.shtml?num=43886

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Удалённо эксплуатируемая уязвимость в Glibc"  +3 +/
Сообщение от Аноним (??) on 16-Фев-16, 20:42 
Согласно https://sourceware.org/bugzilla/show_bug.cgi?id=18665 проблема была зарепорчена 2015-07-13. Более полугода понадобилось чтобы понять что имеют дело с уязвимостью.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Удалённо эксплуатируемая уязвимость в Glibc"  +2 +/
Сообщение от Аноним (??) on 16-Фев-16, 20:44 
Для дебиана уже есть libc* amd64 2.19-18+deb8u3 с закрытием этой уязвимости.

Ну и мне кажется, что, например, для веерной атаки не нужно ломать никакие серверы и встраваться посередине. Достаточно поиметь свой домен usefulsoftishere.to, на сервер зоны поставить DNS-ответчик, формирующий нужный ответ, и на форумах разместить ссылочку на http://usefulsoftishere.to

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Удалённо эксплуатируемая уязвимость в Glibc"  +3 +/
Сообщение от Аноним (??) on 16-Фев-16, 20:46 
Отвечу сам себе. Можно даже все проще сделать: любой почтовик постоянно чего-нибудь ресолвит.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Удалённо эксплуатируемая уязвимость в Glibc"  +/
Сообщение от Нимано on 16-Фев-16, 21:28 
> Уязвимость проявляется при вызове функции

С нетерпением жду комментариев от клоуна! Ведь всего то нужно отключить локальный ресолвер типа анбаунд, ASLR и не забыть про W^X -- и все, ваша не-форточка опять уязвимое, дырявое шерето!!1 ))  

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

96. "Удалённо эксплуатируемая уязвимость в Glibc"  +/
Сообщение от rico (ok) on 17-Мрт-16, 14:21 
митрофаныч, ты чтоль?
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

97. "Удалённо эксплуатируемая уязвимость в Glibc"  +/
Сообщение от Andrey Mitrofanov on 17-Мрт-16, 16:18 
> митрофаныч, ты чтоль?

Нет, не я.

Ответить | Правка | ^ к родителю #96 | Наверх | Cообщить модератору

5. "Удалённо эксплуатируемая уязвимость в Glibc"  –19 +/
Сообщение от Аноним (??) on 16-Фев-16, 21:49 
А как же тысячи глаз которые смотрят в GPL код ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Удалённо эксплуатируемая уязвимость в Glibc"  –18 +/
Сообщение от Аноним (??) on 16-Фев-16, 22:07 
То, что open source inherently more secure than proprietary software - миф.

// b.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

12. "Удалённо эксплуатируемая уязвимость в Glibc"  +20 +/
Сообщение от Музыкант (ok) on 16-Фев-16, 22:47 
Лучше пожизенно страдать от простых хакеров и постоянно залатывать дыры, через которые они лезут, чем пожизненно быть эксплуатируемым корпорациями и не догадываться о том, почему весь мир катится в жопу.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

28. "Удалённо эксплуатируемая уязвимость в Glibc"  +4 +/
Сообщение от Аноним (??) on 17-Фев-16, 08:54 
>чем пожизненно быть эксплуатируемым корпорациями

Инженеры Google и сотрудники RedHat согласны с твоим утверждением.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

64. "Удалённо эксплуатируемая уязвимость в Glibc"  +1 +/
Сообщение от freeman2 (ok) on 18-Фев-16, 07:01 
Все верно, но мир катится в жопу вне зависимости от того открыт код glibc или нет.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

85. "Удалённо эксплуатируемая уязвимость в Glibc"  +/
Сообщение от gogo on 21-Фев-16, 04:29 
Скорость разная
Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

94. "Удалённо эксплуатируемая уязвимость в Glibc"  +/
Сообщение от count0krsk (ok) on 27-Фев-16, 12:48 
В разных точках Континуума ))
А тем временем у меня носок прохудился. Так что дырка в либЦ подождёт ))
Ответить | Правка | ^ к родителю #85 | Наверх | Cообщить модератору

10. "Удалённо эксплуатируемая уязвимость в Glibc"  +24 +/
Сообщение от РОСКОМУЗОР on 16-Фев-16, 22:29 
Вот и увидели. А в твоей винде не увидят и через 100500 лет.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

19. "Удалённо эксплуатируемая уязвимость в Glibc"  +1 +/
Сообщение от Аноним (??) on 17-Фев-16, 01:12 
А смотреть есть на что: место бага - функция длинной в 432 строчки, которая принимает на вход 16 аргументов, с кучей goto и простынями if-else.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

63. "Удалённо эксплуатируемая уязвимость в Glibc"  +2 +/
Сообщение от Аноним (??) on 18-Фев-16, 06:41 
> А в твоей винде не увидят и через 100500 лет.

Там все совсем по-другому. Не пользователи следят за кодом, а код следит за пользователями. И их, похоже, это устраивает. :)

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

95. "Удалённо эксплуатируемая уязвимость в Glibc"  +/
Сообщение от count0krsk (ok) on 27-Фев-16, 12:50 
> Там все совсем по-другому. Не пользователи следят за кодом, а код следит
> за пользователями. И их, похоже, это устраивает. :)

Их просто насилуют. А мнение жертвы мало кого интересует )) Если конечно это не публичный БДСМ, и жертва должна, лижа ботинки Хозяина, благодарить его. Но до этого Микрософт пока не довел своих рабов.

Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

8. "Удалённо эксплуатируемая уязвимость в Glibc"  +1 +/
Сообщение от Аноним (??) on 16-Фев-16, 22:10 
RHEL5 не подвержен
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "Удалённо эксплуатируемая уязвимость в Glibc"  –3 +/
Сообщение от Аноним (??) on 17-Фев-16, 01:52 
"Зачем тебе CentOS 5?", - говорили они. "Шестой супестабилен", - говорили они. "Ты никогда не прикрутишь этот демон к старм либам", - смеялись они надо мной. В итоге поиметы их серверы, а мой - нет.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

43. "Удалённо эксплуатируемая уязвимость в Glibc"  +/
Сообщение от Stax (ok) on 17-Фев-16, 14:27 
Насчет демона и либов это правда, однако. Запустим демон в контейнере с новыми либами - и он будет уязвим, даже если на хосте 5-ка. Уязвимости в glibc они такие..
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

57. "Удалённо эксплуатируемая уязвимость в Glibc"  –2 +/
Сообщение от vvvv (??) on 17-Фев-16, 20:32 
> "Зачем тебе CentOS 5?", - говорили они. "Шестой супестабилен", - говорили они.
> "Ты никогда не прикрутишь этот демон к старм либам", - смеялись
> они надо мной. В итоге поиметы их серверы, а мой -
> нет.

Зачем тебе 6-ой? Уже давно везде 7-ку ставлю.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

87. "Удалённо эксплуатируемая уязвимость в Glibc"  +/
Сообщение от Аноним (??) on 26-Фев-16, 16:42 
> "Зачем тебе CentOS 5?", - говорили они. "Шестой супестабилен", - говорили они.
> "Ты никогда не прикрутишь этот демон к старм либам", - смеялись
> они надо мной. В итоге поиметы их серверы, а мой -
> нет.

Твой локалхост и так вне опасности - кому он нафиг сдался-то?

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

9. "Удалённо эксплуатируемая уязвимость в Glibc"  –4 +/
Сообщение от не дую on 16-Фев-16, 22:15 
Тысячи глаз АНБшников смотрят код, зевая уныло засыпая на клаве и в монике крутится жесткая парнуха.

Это я утрирую конечно, но думаю что и "тысячи глаз" тоже утрирование.

Смотреть то смотрят и даже бабки за это получают заинтересованные лица. Но добросовестно ли они отрабатывают бабки, вот в чем вопрос.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Удалённо эксплуатируемая уязвимость в Glibc"  –10 +/
Сообщение от Аноним (??) on 16-Фев-16, 23:49 
да тут не раз говорили что главное достоинство это тысячи глаз которые смотрят код :)
Оказывается это миф и экслойт явно ходит на черном рынке уже давно..
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

59. "Удалённо эксплуатируемая уязвимость в Glibc"  +/
Сообщение от Аноним (??) on 18-Фев-16, 05:24 
...эксплойт явно ходит на черном рынке уже давно...

Dnssec и dnscrypt-proxy спасут тебя, о неведомый страдалец!
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

62. "Удалённо эксплуатируемая уязвимость в Glibc"  +/
Сообщение от Аноним (??) on 18-Фев-16, 06:15 
P.S. Естественно при условии, что предполагается использование заслуживающих доверие днс-серверов.
Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

66. "Удалённо эксплуатируемая уязвимость в Glibc"  –2 +/
Сообщение от Адекват (ok) on 18-Фев-16, 08:09 
> да тут не раз говорили что главное достоинство это тысячи глаз которые
> смотрят код :)
> Оказывается это миф и экслойт явно ходит на черном рынке уже давно..

Гляди сколько тебе минусов понаставили, не понравилось лягушкам, что в их болото камнем кинул, у лягушек забомбило и болото пошло пузырями.
Тоже об этом думал, с учетом того, что резолв днс-имени может идти с привилегиями рута ( если рут пинганет хост по имени к примеру) - перспективы открываются просто шикарные.
Интересно сколько еще дырок есть в линуксе, которые можно удаленно эксплуатировать, которые скорее всего эксплатируются эксплоитами, которые есть на черном рынке.
Может это последня дырка, ну вот прям ваще ? А то сначла heardbleed, потом shellshock, теперь вот это :)


Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

67. "Удалённо эксплуатируемая уязвимость в Glibc"  +/
Сообщение от Аноним (??) on 18-Фев-16, 08:55 
В целом согласен, только две поправки:локального получения рута - предыдущей известной баги - ни у кого нигде не замечено ну и пинг, как и весь icmp, выполняется только от рута. суид-бит и тп.
Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

73. "Удалённо эксплуатируемая уязвимость в Glibc"  +/
Сообщение от Аноним (??) on 18-Фев-16, 10:50 
Ты не поверишь 50% процентов пропорционально строкам кода... просто на черном рынке как ты говоришь много заказчиков на эту уязвимость вот ее и слили..
Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

68. "Удалённо эксплуатируемая уязвимость в Glibc"  +1 +/
Сообщение от Аноним (??) on 18-Фев-16, 09:18 
Давай не будем заниматься гадательной демагогией. Где "истории успеха", типа: "я пропинговал вот этот хост, получил переполнение, все пропало, все упало, памагите"!
Имя хоста давай, буду пинговать.
Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

70. "Удалённо эксплуатируемая уязвимость в Glibc"  –1 +/
Сообщение от Адекват (ok) on 18-Фев-16, 09:30 
> вот этот хост, получил переполнение, все пропало, все упало, памагите"!

В том то вся и фишка, юный падаван, что не "все упало", а "теперь контроль над вашей системой получили злоумышленники".
Вот как вы можете определить, что сейчас на вашем сервере не находятся посторонние (при условии что у них есть рут) ?


Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

71. "Удалённо эксплуатируемая уязвимость в Glibc"  +/
Сообщение от Аноним (??) on 18-Фев-16, 09:44 
Про рута тебе (?) уже вчера все разжевали подробно, почитай еще раз, если не понял.
Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

72. "Удалённо эксплуатируемая уязвимость в Glibc"  +/
Сообщение от Аноним (??) on 18-Фев-16, 09:46 
P.S. Если не согласен - практическую реализацию уязвимости с полной выкладкой в студию.
Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

11. "Удалённо эксплуатируемая уязвимость в Glibc"  +/
Сообщение от ttwo on 16-Фев-16, 22:41 
А ведь openssh сервер, при соединении обратные ресолвы делает (по умолчанию). Или я ошибаюсь?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Удалённо эксплуатируемая уязвимость в Glibc"  –1 +/
Сообщение от й on 16-Фев-16, 23:49 
да, верно, по умолчанию делает
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

88. "Удалённо эксплуатируемая уязвимость в Glibc"  +/
Сообщение от Аноним (??) on 26-Фев-16, 16:44 
> да, верно, по умолчанию делает

Интеллигентные люди это перво-наперво отключают. И вот почему. Когда у тебя половина инфраструктуры валяется, в частности, пара корпоративных DNS, а тебе удаленно зайти не получается просто потому что SSH долбится к лежащим DNS и надо тащить жoпу через полгорода чтобы глянуть на консоль.... дошло или повторить?

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

93. "Удалённо эксплуатируемая уязвимость в Glibc"  +/
Сообщение от Michael Shigorin email(ok) on 26-Фев-16, 21:50 
> Интеллигентные люди это перво-наперво отключают. И вот почему. Когда у тебя половина
> инфраструктуры валяется, в частности, пара корпоративных DNS, а тебе удаленно зайти
> не получается просто потому что SSH долбится к лежащим DNS и
> надо тащить жoпу через полгорода чтобы глянуть на консоль....
> дошло или повторить?

В оракле такая /dev/arse с DNS?  Да, с UseDNS no в таком случае комфортнее, но описанный DoS на альте в подобных ситуациях не наблюдал -- задержка получалась то ли 30, то ли 60 секунд, не помню уже даже.

Ответить | Правка | ^ к родителю #88 | Наверх | Cообщить модератору

15. "Удалённо эксплуатируемая уязвимость в Glibc"  +/
Сообщение от ALex_hha (ok) on 16-Фев-16, 23:50 
> А ведь openssh сервер, при соединении обратные ресолвы делает (по умолчанию). Или
> я ошибаюсь?

В CentOS 6/Ubuntu 14 по дефолту включенно

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

22. "Удалённо эксплуатируемая уязвимость в Glibc"  +/
Сообщение от EHLO on 17-Фев-16, 02:11 
> А ведь openssh сервер, при соединении обратные ресолвы делает (по умолчанию). Или
> я ошибаюсь?

Да, и?

>для типов записей A (IPv4) и AAAA (IPv6)

 

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

23. "Удалённо эксплуатируемая уязвимость в Glibc"  +/
Сообщение от Аноним (??) on 17-Фев-16, 06:21 
строчки о том что прямое и обратное не совпадают не видел ?
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

48. "Удалённо эксплуатируемая уязвимость в Glibc"  +/
Сообщение от й on 17-Фев-16, 15:33 
да и обратный резолв --- это ровно такое же a/aaaa
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

52. "Удалённо эксплуатируемая уязвимость в Glibc"  +/
Сообщение от й on 17-Фев-16, 16:01 
ой, не, ptr же. но т.к. вызывается и прямой тоже, это не так важно.
Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

54. "Удалённо эксплуатируемая уязвимость в Glibc"  +/
Сообщение от EHLO on 17-Фев-16, 17:06 
> ой, не, ptr же. но т.к. вызывается и прямой тоже, это не
> так важно.

Дане, он чисто для журнала обратный делает в любой не экзотической конфигурации. Можно потрэйсить или tcpdump посмотреть.
Ман читал, там неправда.

Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

82. "Удалённо эксплуатируемая уязвимость в Glibc"  +/
Сообщение от Аноним (??) on 19-Фев-16, 23:32 
> А ведь openssh сервер, при соединении обратные ресолвы делает (по умолчанию). Или
> я ошибаюсь?

Делал. В последних версиях для UseDNS поменяли значение по умолчанию на «No».

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

83. "Удалённо эксплуатируемая уязвимость в Glibc"  +/
Сообщение от ttwo on 20-Фев-16, 15:01 
>> А ведь openssh сервер, при соединении обратные ресолвы делает (по умолчанию). Или
>> я ошибаюсь?
> Делал. В последних версиях для UseDNS поменяли значение по умолчанию на «No».

На мой взгляд правильно. А кому надо другое поведение поправит конфигурацию.

Ответить | Правка | ^ к родителю #82 | Наверх | Cообщить модератору

16. "Удалённо эксплуатируемая уязвимость в Glibc"  –1 +/
Сообщение от Mirraz (ok) on 17-Фев-16, 00:20 
Если в качестве локального резолвера у меня работает dnsmasq, можно спать спокойно?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Удалённо эксплуатируемая уязвимость в Glibc"  +/
Сообщение от anonymous (??) on 17-Фев-16, 00:33 
Сам то dnsmasq не из астрала ответы берёт.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "Удалённо эксплуатируемая уязвимость в Glibc"  +/
Сообщение от anonymous (??) on 17-Фев-16, 00:34 
> Если в качестве локального резолвера у меня работает dnsmasq, можно спать спокойно?

Нет, проблема в libc, если твой локальный резолвер не фильтрует каким-либо образом эксплуатирующие уязвимость DNS-ответы - тебе он ничем не поможет

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

20. "Удалённо эксплуатируемая уязвимость в Glibc"  +/
Сообщение от Аноним (??) on 17-Фев-16, 01:50 
В SLES прилетело: https://www.suse.com/support/update/announcement/2016/suse-s...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

41. "Удалённо эксплуатируемая уязвимость в Glibc"  –1 +/
Сообщение от SysA on 17-Фев-16, 13:20 
> В SLES прилетело: https://www.suse.com/support/update/announcement/2016/suse-s...

В Gentoo тоже уже есть sys-libs/glibc-2.22-r2:2.2 с патчем.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

24. "Удалённо эксплуатируемая уязвимость в Glibc"  –1 +/
Сообщение от Адекват (ok) on 17-Фев-16, 07:06 
dnssec решит проблему ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

49. "Удалённо эксплуатируемая уязвимость в Glibc"  +/
Сообщение от й on 17-Фев-16, 15:34 
> dnssec решит проблему ?

не. контроля над днс-зоной (хоть прямой, хоть обратной) -- достаточно, чтобы запихнуть туда запись больше двух килобайт. dnssec не спасёт.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

60. "Удалённо эксплуатируемая уязвимость в Glibc"  +/
Сообщение от Аноним (??) on 18-Фев-16, 05:55 
> контроля над днс-зоной

Как бы не совсем простое условие - получить контроль за более-менее обширной зоной.

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

84. "Удалённо эксплуатируемая уязвимость в Glibc"  +/
Сообщение от й on 20-Фев-16, 19:54 
зачем обширной? достаточно той, которую будет кто-то резолвить (от авторезолва в ssh и до картинки в интернете).
Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

30. "Удалённо эксплуатируемая уязвимость в Glibc"  –1 +/
Сообщение от бедный буратино (ok) on 17-Фев-16, 09:28 
glibc - это только linux? серверы на openbsd от этого не болеют?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

36. "Удалённо эксплуатируемая уязвимость в Glibc"  +/
Сообщение от Аноним (??) on 17-Фев-16, 11:21 
Предвосхищая следующий вопрос: Angband тоже вне зоны риска, спи спокойно.
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

65. "Удалённо эксплуатируемая уязвимость в Glibc"  +/
Сообщение от freeman2 (ok) on 18-Фев-16, 07:08 
del
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

31. "Удалённо эксплуатируемая уязвимость в Glibc"  +/
Сообщение от Нанобот (ok) on 17-Фев-16, 09:33 
>рекомендуется ограничить на межсетевом экране максимальный размер DNS-ответов значением в 512 байт для UDP и 1024 байт для TCP

А почему не 2048? (переполнение же возникает после 2к)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

34. "Удалённо эксплуатируемая уязвимость в Glibc"  –3 +/
Сообщение от Адекват (ok) on 17-Фев-16, 10:41 
Я так понял мой коммент приняли за троллинг, и по этому удалили, да ? ну не беда, давайте БЕЗ троллинга.

Я вот понял так, что уязвимость эксплуатируется с правами ядра (а если нет, то с какими) ? Если с правами ядра, то можно послать такой шелл-код, который не только выполнит зловредный код, но и заметет за собой все следы - это конечно не совсем простая задача, но реализуемая.
Кроме того, если "с правами ядра", то в данный момент у вас могут модифицированные бинари и либы в вашей системе, которые не будут показывать активность зловреда в вашей системе, но сам зловред там будет, всякие там ps, netstat, tcpdump, просто не будут показывать активность зловредного бинаря.
"Проблема вызвана переполнением буфера" - известна давно, но никто из "афторов" программ, что используются в линуксе не почесался перепроверить свой код на наличие этой проблемы.
Отношение чисто формальное к своей работе, но людей можно понять - написать программу, и "написать программу и сопровождать ее" - две разные вещи. а кому охота больше _работать_ за одни и те же деньги :) ?
Что характерно - если бы эту дырку не нашли (а нашли ее чисто случайно) - ее бы могли эксплуатировать в тихую еще добрый десяток лет :)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

35. "Удалённо эксплуатируемая уязвимость в Glibc"  +/
Сообщение от тоже Аноним email(ok) on 17-Фев-16, 10:49 
А теперь попробуйте без троллинга и без высеров.
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

37. "Удалённо эксплуатируемая уязвимость в Glibc"  +1 +/
Сообщение от sage (??) on 17-Фев-16, 11:31 
Шелл-код выполняется от имени приложения, которое резолвит домен.
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

81. "Удалённо эксплуатируемая уязвимость в Glibc"  +/
Сообщение от тот самый парень on 19-Фев-16, 19:48 
но не в случае пинга.
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

39. "Удалённо эксплуатируемая уязвимость в Glibc"  +/
Сообщение от Аноним (??) on 17-Фев-16, 13:00 
И давно у нас за резольвинг ДНС ядро отвечать начало?
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

89. "Удалённо эксплуатируемая уязвимость в Glibc"  –1 +/
Сообщение от Аноним (??) on 26-Фев-16, 16:46 
> И давно у нас за резольвинг ДНС ядро отвечать начало?

Тормоз, оно всегда и отвечало. И у вас и у нас.

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

47. "Удалённо эксплуатируемая уязвимость в Glibc"  +3 +/
Сообщение от Нимано on 17-Фев-16, 15:09 
> Я вот понял так, что уязвимость эксплуатируется с правами ядра (а если
> нет, то с какими) ?

Нет.

> то можно
> послать такой шелл-код, который не только выполнит зловредный код, но и
> заметет за собой все следы - это конечно не совсем простая
> задача, но реализуемая.

Ага, а еще можно в  холодильнике на луну или на марс слетать – переделать холодильник  задачка не совсем тривиальная, но реализуемая!

> Что характерно - если бы эту дырку не нашли (а нашли ее
> чисто случайно) - ее бы могли эксплуатировать в тихую еще добрый
> десяток лет :)

https://en.wikipedia.org/wiki/Address_space_layout_randomiza...
> The Linux PaX project first coined the term "ASLR", and published the first design and implementation of ASLR in July 2001.

https://pax.grsecurity.net/docs/pax.txt
https://pax.grsecurity.net/docs/noexec.txt
> PaX makes the stack and the heap (all anonymous mappings in general) non-executable.

а пока:


./paxtest blackhat
Executable anonymous mapping             : Killed
Executable bss                           : Killed
Executable data                          : Killed
Executable heap                          : Killed
Executable stack                         : Killed
...
Anonymous mapping randomization test     : 30 quality bits (guessed)
Heap randomization test (ET_EXEC)        : 26 quality bits (guessed)
Heap randomization test (PIE)            : 27 quality bits (guessed)
Main executable randomization (PIE)      : 30 quality bits (guessed)
...

удачи "проэксплуатировать" хоть в тихую, хоть c флагом в руках и барабаном на шее ...
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

40. "Удалённо эксплуатируемая уязвимость в Glibc, охватывающая бо..."  –1 +/
Сообщение от Аноним (??) on 17-Фев-16, 13:12 
Более обидно вот это:
"Проблема присутствует с мая 2008 года, начиная с выпуска glibc 2.9."
Это ж вообще жуть получается...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

90. "Удалённо эксплуатируемая уязвимость в Glibc, охватывающая бо..."  +/
Сообщение от Аноним (??) on 26-Фев-16, 16:47 
> Более обидно вот это:
> "Проблема присутствует с мая 2008 года, начиная с выпуска glibc 2.9."
> Это ж вообще жуть получается...

Угу, дальше следует перл про то, как тысячи глаз бороздят просторы Большого Театра.....

PS. Как страшно жить.

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

92. "Удалённо эксплуатируемая уязвимость в Glibc, охватывающая бо..."  +/
Сообщение от Michael Shigorin email(ok) on 26-Фев-16, 21:48 
> Угу, дальше следует перл про то, как тысячи глаз бороздят просторы Большого

оракла.

Ответить | Правка | ^ к родителю #90 | Наверх | Cообщить модератору

42. "Удалённо эксплуатируемая уязвимость в Glibc, охватывающая бо..."  +/
Сообщение от f1ex (ok) on 17-Фев-16, 13:47 
пишет что
sudo iptables -I INPUT -p udp --sport 53 -m state --state ESTABLISHED -m length --length 2048: -j DROP
sudo iptables -I INPUT -p tcp --sport 53 -m state --state ESTABLISHED -m length --length 2048: -j DROP
sudo ip6tables -I INPUT -p udp --sport 53 -m state --state ESTABLISHED -m length --length 2048: -j DROP
sudo ip6tables -I INPUT -p tcp --sport 53 -m state --state ESTABLISHED -m length --length 2048: -j DROP

должно помочь. Так ли это ?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

51. "Удалённо эксплуатируемая уязвимость в Glibc, охватывающая бо..."  +/
Сообщение от й on 17-Фев-16, 15:40 
ох, поломает оно вам zone transfer'ы. лучше обновитесь.
Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

45. "Удалённо эксплуатируемая уязвимость в Glibc, охватывающая бо..."  +/
Сообщение от Аноним (??) on 17-Фев-16, 14:42 
так а если просто поставить в настройках гугловские dns?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

50. "Удалённо эксплуатируемая уязвимость в Glibc, охватывающая бо..."  +1 +/
Сообщение от й on 17-Фев-16, 15:38 
> так а если просто поставить в настройках гугловские dns?

а толку с того, если гугль днс всё равно ходит к сторонним dns-серверам, которые могут выдавать такие ответы?

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

61. "Удалённо эксплуатируемая уязвимость в Glibc, охватывающая бо..."  +/
Сообщение от Аноним (??) on 18-Фев-16, 06:11 
> гугль днс всё равно ходит к сторонним dns-серверам

Будем надеяться, что не совсем к каким попало, тем более, что иженеры Гугла давно об этой проблеме осведомлены. А проблемы типа MITM вполне решаемы. Хотя, малый риск, конечно, есть и здесь, абсолютно все не проконтролируешь.

> так а если просто поставить в настройках гугловские dns?

Тут еще проблема в том (по крайней мере, для домашних локалхостов), что российские провайдеры взяли моду перенаправлять запросы к сторонним днс-серверам на свои. А что там в их провайдерской кухне дальше делается, х.з.

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

98. "Удалённо эксплуатируемая уязвимость в Glibc, охватывающая бо..."  +/
Сообщение от Аноним (??) on 19-Дек-16, 13:32 
> иженеры Гугла давно об этой проблеме осведомлены

А, ну раз осведомлены, значит и проблемы нет!!

Забыл спросить. А они после того как стали осведомленными начали модифицировать DNS-трафик или они осведомлены и на этом всё?

Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

55. "Удалённо эксплуатируемая уязвимость в Glibc, охватывающая бо..."  –4 +/
Сообщение от Kodir (ok) on 17-Фев-16, 17:31 
Да есть уже давно патч, причём сразу для всей системы: s/C++/D/g !
Уже просто стыдно в 21 веке читать "переполнение буфера" - будто линукс на перфокартах пишут!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

56. "Удалённо эксплуатируемая уязвимость в Glibc, охватывающая бо..."  +/
Сообщение от аноним2 on 17-Фев-16, 20:32 
у вас Д в головном мозге
Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

58. "Удалённо эксплуатируемая уязвимость в Glibc, охватывающая бо..."  +1 +/
Сообщение от Andrey Mitrofanov on 17-Фев-16, 21:28 
> Да есть уже давно патч, причём сразу для всей системы: s/C++/D/g !

Libc на D уже переписали? :D   А смысл?!

Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

69. "Удалённо эксплуатируемая уязвимость в Glibc, охватывающая бо..."  +1 +/
Сообщение от Аноним (??) on 18-Фев-16, 09:23 
беспокоит ещё где уважаемый 'кодир' плюсы увидал, что он менять собрался-то.
Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

74. "Удалённо эксплуатируемая уязвимость в Glibc, охватывающая бо..."  +/
Сообщение от evkogan on 18-Фев-16, 16:36 
В OPenSuse до сих пор нет.
Я конечно понимаю, что это не Ent, но не до такой же степени
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

75. "Удалённо эксплуатируемая уязвимость в Glibc, охватывающая бо..."  +/
Сообщение от zeppelin on 18-Фев-16, 17:00 
Есть. (http://lists.opensuse.org/opensuse-security-announce/2016-02...)

This update for glibc fixes the following security issues:

- CVE-2015-7547: A stack-based buffer overflow in getaddrinfo allowed
remote attackers to cause a crash or execute arbitrary code via crafted
and timed DNS responses (bsc#961721)

Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

76. "Удалённо эксплуатируемая уязвимость в Glibc, охватывающая бо..."  +/
Сообщение от evkogan on 18-Фев-16, 18:04 
В списке есть, а в доступных к закачке rpm нет.
http://download.opensuse.org/update/13.2/
Ответить | Правка | ^ к родителю #75 | Наверх | Cообщить модератору

77. "Удалённо эксплуатируемая уязвимость в Glibc, охватывающая бо..."  +/
Сообщение от Аноним (??) on 18-Фев-16, 18:35 
Только для версии 42.1, 13.2 и 13.1 никто, похоже, обновлять не собирается.
Ответить | Правка | ^ к родителю #75 | Наверх | Cообщить модератору

78. "Удалённо эксплуатируемая уязвимость в Glibc, охватывающая бо..."  –2 +/
Сообщение от evkogan on 19-Фев-16, 09:14 
> Только для версии 42.1, 13.2 и 13.1 никто, похоже, обновлять не собирается.

Хамство у них на официальном сайте

"The following distributions are expected to receive updates until the specified date:
    openSUSE 13.2 - EXPECTED First Quarter of 2017 (2 months after release of Leap 42.2)
    Leap 42.1 - EXPECTED Second Quarter of 2017 (6 months after 42.2)"

Т.е. еще год патчи должны быть.

Ответить | Правка | ^ к родителю #77 | Наверх | Cообщить модератору

79. "Удалённо эксплуатируемая уязвимость в Glibc, охватывающая бо..."  –2 +/
Сообщение от evkogan on 19-Фев-16, 09:19 
Поправка сейчас еще раз проверил обновления, наконец доехало. OpenSuse 13.2

Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру