The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

16.02.2016 20:13  Удалённо эксплуатируемая уязвимость в Glibc, охватывающая большинство сетевых приложений в Linux

Исследователи безопасности из компаний Google и Red Hat выявили опасную уязвимость (СVE-2015-7547) в системной библиотеке Glibc. Уязвимость проявляется при вызове приложениями функции getaddrinfo() и может привести к выполнению кода в системе в случае возврата DNS-сервером специально оформленного ответа, который может быть сформирован злоумышленником в результате MITM-атаки, при получении контроля над DNS-сервером, отвечающим за отдачу запрошенной DNS-зоны, или при обращении к домену, за обработку которого отвечает DNS-сервер атакующих. Таким образом, для совершения успешной атаки злоумышленникам достаточно подтолкнуть пользователя обратиться к подконтрольному им доменному имени из любой программы, в которой применяется вызов getaddrinfo().

Проблема вызвана переполнением буфера в NSS-модуле nss_dns, которое присутствует в обработчиках запросов как по UDP (send_dg), так и по TCP (send_vc). Уязвимость проявляется при вызове функции getaddrinfo в режимах AF_UNSPEC или AF_INET6, использование которых приводит к одновременной отправке двух запросов для получения данных для типов записей A (IPv4) и AAAA (IPv6). Суть проблемы в том, что буфер для сохранения результата создаётся ненадлежащего размера и хвост ответа записывается в область стека за пределом буфера (в буфер 2048 может придти до 65535 байт данных). Для демонстрации уязвимости подготовлен рабочий прототип эксплоита.

Проблема присутствует с мая 2008 года, начиная с выпуска glibc 2.9. Инженеры Google обратили внимание на уязвимость столкнувшись с повторяющимся крахом клиента SSH при попытке обращения к одному из хостов. В процессе разбора уязвимости инженеры Google с удивлением обнаружили, что информация об уязвимости уже сообщалась разработчикам Glibc людьми столкнувшимися с похожими проблемами и находится в системе отслеживания ошибок Glibc с 13 июля 2015 года. Написав о проблеме сопровождающим Glibc, исследователи узнали, что два сотрудника Red Hat тоже обратили внимание на данную ошибку и занимаются её анализом.

Исправление пока доступно в виде патча. Обновления с устранением уязвимости пока выпущены только для RHEL 6/7 и Debian (eglibc, glibc). Оценить появление обновлений в других дистрибутивах можно на следующих страницах: Ubuntu, Fedora,openSUSE, SLES, Slackware, Gentoo, CentOS. В качестве обходных мер защиты рекомендуется ограничить на межсетевом экране максимальный размер DNS-ответов значением в 512 байт для UDP и 1024 байт для TCP.

  1. Главная ссылка к новости (http://openwall.com/lists/oss-...)
  2. OpenNews: Состоялся релиз системной библиотеки Glibc 2.22
  3. OpenNews: Уязвимость GHOST в Glibc может проявляться в web-приложениях на языке PHP
  4. OpenNews: Критическая уязвимость в Glibc, которая может привести к удалённому выполнению кода в Linux
  5. OpenNews: Представлена стандартная Си-библиотека Musl 1.0.0, развиваемая в качестве альтернативы Glibc
Лицензия: CC-BY
Тип: Интересно / Проблемы безопасности
Ключевые слова: glibc
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 20:42, 16/02/2016 [ответить] [смотреть все]
  • +3 +/
    Согласно https sourceware org bugzilla show_bug cgi id 18665 проблема была зар... весь текст скрыт [показать]
     
  • 1.2, Аноним, 20:44, 16/02/2016 [ответить] [смотреть все]  
  • +2 +/
    Для дебиана уже есть libc amd64 2 19-18 deb8u3 с закрытием этой уязвимости Ну ... весь текст скрыт [показать]
     
     
  • 2.3, Аноним, 20:46, 16/02/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    Отвечу сам себе Можно даже все проще сделать любой почтовик постоянно чего-ниб... весь текст скрыт [показать] [показать ветку]
     
  • 1.4, Нимано, 21:28, 16/02/2016 [ответить] [смотреть все]  
  • +/
    > Уязвимость проявляется при вызове функции

    С нетерпением жду комментариев от клоуна! Ведь всего то нужно отключить локальный ресолвер типа анбаунд, ASLR и не забыть про W^X -- и все, ваша не-форточка опять уязвимое, дырявое шерето!!1 ))  

     
     
  • 2.96, rico, 14:21, 17/03/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    митрофаныч, ты чтоль?
     
     
  • 3.97, Andrey Mitrofanov, 16:18, 17/03/2016 [^] [ответить] [смотреть все]  
  • +/
    > митрофаныч, ты чтоль?

    Нет, не я.

     
  • 1.5, Аноним, 21:49, 16/02/2016 [ответить] [смотреть все]  
  • –19 +/
    А как же тысячи глаз которые смотрят в GPL код ?
     
     
  • 2.7, Аноним, 22:07, 16/02/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –18 +/
    То, что open source inherently more secure than proprietary software - миф b... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.12, Музыкант, 22:47, 16/02/2016 [^] [ответить] [смотреть все]  
  • +20 +/
    Лучше пожизенно страдать от простых хакеров и постоянно залатывать дыры, через которые они лезут, чем пожизненно быть эксплуатируемым корпорациями и не догадываться о том, почему весь мир катится в жопу.
     
     
  • 4.28, Аноним, 08:54, 17/02/2016 [^] [ответить] [смотреть все]  
  • +4 +/
    Инженеры Google и сотрудники RedHat согласны с твоим утверждением ... весь текст скрыт [показать]
     
  • 4.64, freeman2, 07:01, 18/02/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Все верно, но мир катится в жопу вне зависимости от того открыт код glibc или не... весь текст скрыт [показать]
     
     
  • 5.85, gogo, 04:29, 21/02/2016 [^] [ответить] [смотреть все]  
  • +/
    Скорость разная
     
     
  • 6.94, count0krsk, 12:48, 27/02/2016 [^] [ответить] [смотреть все]  
  • +/
    В разных точках Континуума А тем временем у меня носок прохудился Так что д... весь текст скрыт [показать]
     
  • 2.10, РОСКОМУЗОР, 22:29, 16/02/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +24 +/
    Вот и увидели. А в твоей винде не увидят и через 100500 лет.
     
     
  • 3.19, Аноним, 01:12, 17/02/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    А смотреть есть на что место бага - функция длинной в 432 строчки, которая прин... весь текст скрыт [показать]
     
  • 3.63, Аноним, 06:41, 18/02/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    Там все совсем по-другому Не пользователи следят за кодом, а код следит за поль... весь текст скрыт [показать]
     
     
  • 4.95, count0krsk, 12:50, 27/02/2016 [^] [ответить] [смотреть все]  
  • +/
    Их просто насилуют А мнение жертвы мало кого интересует Если конечно это не ... весь текст скрыт [показать]
     
  • 1.8, Аноним, 22:10, 16/02/2016 [ответить] [смотреть все]  
  • +1 +/
    RHEL5 не подвержен
     
     
  • 2.21, Аноним, 01:52, 17/02/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –3 +/
    Зачем тебе CentOS 5 , - говорили они Шестой супестабилен , - говорили они ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.43, Stax, 14:27, 17/02/2016 [^] [ответить] [смотреть все]  
  • +/
    Насчет демона и либов это правда, однако Запустим демон в контейнере с новыми л... весь текст скрыт [показать]
     
  • 3.57, vvvv, 20:32, 17/02/2016 [^] [ответить] [смотреть все]  
  • –2 +/
    Зачем тебе 6-ой Уже давно везде 7-ку ставлю ... весь текст скрыт [показать]
     
  • 3.87, Аноним, 16:42, 26/02/2016 [^] [ответить] [смотреть все]  
  • +/
    Твой локалхост и так вне опасности - кому он нафиг сдался-то ... весь текст скрыт [показать]
     
  • 1.9, не дую, 22:15, 16/02/2016 [ответить] [смотреть все]  
  • –4 +/
    Тысячи глаз АНБшников смотрят код, зевая уныло засыпая на клаве и в монике крути... весь текст скрыт [показать]
     
     
  • 2.14, Аноним, 23:49, 16/02/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –10 +/
    да тут не раз говорили что главное достоинство это тысячи глаз которые смотрят к... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.59, Аноним, 05:24, 18/02/2016 [^] [ответить] [смотреть все]  
  • +/
    эксплойт явно ходит на черном рынке уже давно Dnssec и dnscrypt-proxy спас... весь текст скрыт [показать]
     
     
  • 4.62, Аноним, 06:15, 18/02/2016 [^] [ответить] [смотреть все]  
  • +/
    P S Естественно при условии, что предполагается использование заслуживающих дов... весь текст скрыт [показать]
     
  • 3.66, Адекват, 08:09, 18/02/2016 [^] [ответить] [смотреть все]  
  • –2 +/
    Гляди сколько тебе минусов понаставили, не понравилось лягушкам, что в их болото... весь текст скрыт [показать]
     
     
  • 4.67, Аноним, 08:55, 18/02/2016 [^] [ответить] [смотреть все]  
  • +/
    В целом согласен, только две поправки локального получения рута - предыдущей изв... весь текст скрыт [показать]
     
     
  • 5.73, Аноним, 10:50, 18/02/2016 [^] [ответить] [смотреть все]  
  • +/
    Ты не поверишь 50 процентов пропорционально строкам кода просто на черном ры... весь текст скрыт [показать]
     
  • 4.68, Аноним, 09:18, 18/02/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Давай не будем заниматься гадательной демагогией Где истории успеха , типа я... весь текст скрыт [показать]
     
     
  • 5.70, Адекват, 09:30, 18/02/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    В том то вся и фишка, юный падаван, что не все упало , а теперь контроль над в... весь текст скрыт [показать]
     
     
  • 6.71, Аноним, 09:44, 18/02/2016 [^] [ответить] [смотреть все]  
  • +/
    Про рута тебе уже вчера все разжевали подробно, почитай еще раз, если не пон... весь текст скрыт [показать]
     
     
  • 7.72, Аноним, 09:46, 18/02/2016 [^] [ответить] [смотреть все]  
  • +/
    P S Если не согласен - практическую реализацию уязвимости с полной выкладкой в ... весь текст скрыт [показать]
     
     ....нить скрыта, показать (10)

  • 1.11, ttwo, 22:41, 16/02/2016 [ответить] [смотреть все]  
  • +/
    А ведь openssh сервер, при соединении обратные ресолвы делает (по умолчанию). Или я ошибаюсь?
     
     
  • 2.13, й, 23:49, 16/02/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    да, верно, по умолчанию делает
     
     
  • 3.88, Аноним, 16:44, 26/02/2016 [^] [ответить] [смотреть все]  
  • +/
    Интеллигентные люди это перво-наперво отключают И вот почему Когда у тебя поло... весь текст скрыт [показать]
     
     
  • 4.93, Michael Shigorin, 21:50, 26/02/2016 [^] [ответить] [смотреть все]  
  • +/
    В оракле такая dev arse с DNS Да, с UseDNS no в таком случае комфортнее, но о... весь текст скрыт [показать]
     
  • 2.15, ALex_hha, 23:50, 16/02/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    В CentOS 6 Ubuntu 14 по дефолту включенно ... весь текст скрыт [показать] [показать ветку]
     
  • 2.22, EHLO, 02:11, 17/02/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Да, и ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.23, Аноним, 06:21, 17/02/2016 [^] [ответить] [смотреть все]  
  • +/
    строчки о том что прямое и обратное не совпадают не видел ?
     
     
  • 4.48, й, 15:33, 17/02/2016 [^] [ответить] [смотреть все]  
  • +/
    да и обратный резолв --- это ровно такое же a/aaaa
     
     
  • 5.52, й, 16:01, 17/02/2016 [^] [ответить] [смотреть все]  
  • +/
    ой, не, ptr же. но т.к. вызывается и прямой тоже, это не так важно.
     
     
  • 6.54, EHLO, 17:06, 17/02/2016 [^] [ответить] [смотреть все]  
  • +/
    Дане, он чисто для журнала обратный делает в любой не экзотической конфигурации ... весь текст скрыт [показать]
     
  • 2.82, Аноним, 23:32, 19/02/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Делал В последних версиях для UseDNS поменяли значение по умолчанию на 171 No... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.83, ttwo, 15:01, 20/02/2016 [^] [ответить] [смотреть все]  
  • +/
    На мой взгляд правильно А кому надо другое поведение поправит конфигурацию ... весь текст скрыт [показать]
     
  • 1.16, Mirraz, 00:20, 17/02/2016 [ответить] [смотреть все]  
  • –1 +/
    Если в качестве локального резолвера у меня работает dnsmasq, можно спать спокойно?
     
     
  • 2.17, anonymous, 00:33, 17/02/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Сам то dnsmasq не из астрала ответы берёт.
     
  • 2.18, anonymous, 00:34, 17/02/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Нет, проблема в libc, если твой локальный резолвер не фильтрует каким-либо образ... весь текст скрыт [показать] [показать ветку]
     
  • 1.20, Аноним, 01:50, 17/02/2016 [ответить] [смотреть все]  
  • +/
    В SLES прилетело https www suse com support update announcement 2016 suse-su-... весь текст скрыт [показать]
     
     
  • 2.41, SysA, 13:20, 17/02/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    В Gentoo тоже уже есть sys-libs glibc-2 22-r2 2 2 с патчем ... весь текст скрыт [показать] [показать ветку]
     
  • 1.24, Адекват, 07:06, 17/02/2016 [ответить] [смотреть все]  
  • –1 +/
    dnssec решит проблему ?
     
     
  • 2.49, й, 15:34, 17/02/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    не контроля над днс-зоной хоть прямой, хоть обратной -- достаточно, чтобы зап... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.60, Аноним, 05:55, 18/02/2016 [^] [ответить] [смотреть все]  
  • +/
    Как бы не совсем простое условие - получить контроль за более-менее обширной зон... весь текст скрыт [показать]
     
     
  • 4.84, й, 19:54, 20/02/2016 [^] [ответить] [смотреть все]  
  • +/
    зачем обширной достаточно той, которую будет кто-то резолвить от авторезолва в... весь текст скрыт [показать]
     
  • 1.30, бедный буратино, 09:28, 17/02/2016 [ответить] [смотреть все]  
  • –1 +/
    glibc - это только linux? серверы на openbsd от этого не болеют?
     
     
  • 2.36, Аноним, 11:21, 17/02/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Предвосхищая следующий вопрос: Angband тоже вне зоны риска, спи спокойно.
     
  • 2.65, freeman2, 07:08, 18/02/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    del
     
  • 1.31, Нанобот, 09:33, 17/02/2016 [ответить] [смотреть все]  
  • +/
    >рекомендуется ограничить на межсетевом экране максимальный размер DNS-ответов значением в 512 байт для UDP и 1024 байт для TCP

    А почему не 2048? (переполнение же возникает после 2к)

     
  • 1.34, Адекват, 10:41, 17/02/2016 [ответить] [смотреть все]  
  • –3 +/
    Я так понял мой коммент приняли за троллинг, и по этому удалили, да ну не беда... весь текст скрыт [показать]
     
     
  • 2.35, тоже Аноним, 10:49, 17/02/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    А теперь попробуйте без троллинга и без высеров.
     
  • 2.37, sage, 11:31, 17/02/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Шелл-код выполняется от имени приложения, которое резолвит домен.
     
     
  • 3.81, тот самый парень, 19:48, 19/02/2016 [^] [ответить] [смотреть все]  
  • +/
    но не в случае пинга.
     
  • 2.39, Аноним, 13:00, 17/02/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    И давно у нас за резольвинг ДНС ядро отвечать начало?
     
     
  • 3.89, Аноним, 16:46, 26/02/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Тормоз, оно всегда и отвечало И у вас и у нас ... весь текст скрыт [показать]
     
  • 2.47, Нимано, 15:09, 17/02/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    Нет Ага, а еще можно в холодильнике на луну или на марс слетать 8211 переде... весь текст скрыт [показать] [показать ветку]
     
  • 1.40, Аноним, 13:12, 17/02/2016 [ответить] [смотреть все]  
  • –1 +/
    Более обидно вот это Проблема присутствует с мая 2008 года, начиная с выпуска ... весь текст скрыт [показать]
     
     
  • 2.90, Аноним, 16:47, 26/02/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Угу, дальше следует перл про то, как тысячи глаз бороздят просторы Большого Теат... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.92, Michael Shigorin, 21:48, 26/02/2016 [^] [ответить] [смотреть все]  
  • +/
    оракла ... весь текст скрыт [показать]
     
  • 1.42, f1ex, 13:47, 17/02/2016 [ответить] [смотреть все]  
  • +/
    пишет что
    sudo iptables -I INPUT -p udp --sport 53 -m state --state ESTABLISHED -m length --length 2048: -j DROP
    sudo iptables -I INPUT -p tcp --sport 53 -m state --state ESTABLISHED -m length --length 2048: -j DROP
    sudo ip6tables -I INPUT -p udp --sport 53 -m state --state ESTABLISHED -m length --length 2048: -j DROP
    sudo ip6tables -I INPUT -p tcp --sport 53 -m state --state ESTABLISHED -m length --length 2048: -j DROP

    должно помочь. Так ли это ?

     
     
  • 2.51, й, 15:40, 17/02/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    ох, поломает оно вам zone transfer'ы. лучше обновитесь.
     
  • 1.45, Аноним, 14:42, 17/02/2016 [ответить] [смотреть все]  
  • +/
    так а если просто поставить в настройках гугловские dns?
     
     
  • 2.50, й, 15:38, 17/02/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    а толку с того, если гугль днс всё равно ходит к сторонним dns-серверам, которые... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.61, Аноним, 06:11, 18/02/2016 [^] [ответить] [смотреть все]  
  • +/
    Будем надеяться, что не совсем к каким попало, тем более, что иженеры Гугла давн... весь текст скрыт [показать]
     
     
  • 4.98, Аноним, 13:32, 19/12/2016 [^] [ответить] [смотреть все]  
  • +/
    А, ну раз осведомлены, значит и проблемы нет Забыл спросить А они после того ... весь текст скрыт [показать]
     
  • 1.55, Kodir, 17:31, 17/02/2016 [ответить] [смотреть все]  
  • –4 +/
    Да есть уже давно патч, причём сразу для всей системы s C D g Уже просто ст... весь текст скрыт [показать]
     
     
  • 2.56, аноним2, 20:32, 17/02/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    у вас Д в головном мозге
     
  • 2.58, Andrey Mitrofanov, 21:28, 17/02/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Libc на D уже переписали D А смысл ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.69, Аноним, 09:23, 18/02/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    беспокоит ещё где уважаемый 'кодир' плюсы увидал, что он менять собрался-то.
     
  • 1.74, evkogan, 16:36, 18/02/2016 [ответить] [смотреть все]  
  • +/
    В OPenSuse до сих пор нет.
    Я конечно понимаю, что это не Ent, но не до такой же степени
     
     
  • 2.75, zeppelin, 17:00, 18/02/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Есть http lists opensuse org opensuse-security-announce 2016-02 msg00041 htm... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.76, evkogan, 18:04, 18/02/2016 [^] [ответить] [смотреть все]  
  • +/
    В списке есть, а в доступных к закачке rpm нет http download opensuse org upd... весь текст скрыт [показать]
     
  • 3.77, Аноним, 18:35, 18/02/2016 [^] [ответить] [смотреть все]  
  • +/
    Только для версии 42.1, 13.2 и 13.1 никто, похоже, обновлять не собирается.
     
     
  • 4.78, evkogan, 09:14, 19/02/2016 [^] [ответить] [смотреть все]  
  • –2 +/
    Хамство у них на официальном сайте The following distributions are expected to ... весь текст скрыт [показать]
     
  • 2.79, evkogan, 09:19, 19/02/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –2 +/
    Поправка сейчас еще раз проверил обновления, наконец доехало. OpenSuse 13.2

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor TopList