image

Linuxsystemen kwetsbaar voor kritiek GHOST-lek

woensdag 28 januari 2015, 09:50 door Redactie, 12 reacties

Er is een kritieke kwetsbaarheid in Linux ontdekt waardoor zo goed als alle systemen sinds 2000 risico lopen. Via het lek kan een aanvaller op afstand en zonder geldige inloggegevens kwetsbare computers overnemen. De kwetsbaarheid bevindt zich sinds november 2000 in de GNU C library.

De GNU C Library, ook bekend als glibc, is een implementatie van de standaard C library en een belangrijk onderdeel van Linux. Zonder deze library zou een Linuxsysteem namelijk niet werken. Het lek heeft van onderzoekers de naam GHOST gekregen, omdat het via de gethostbyname-functie is aan te roepen. Vervolgens kan een aanvaller willekeurige code op het systeem uitvoeren.

Op 21 mei 2013 tussen de releases van glibc-2.17 en glibc-2.18 verscheen er een oplossing voor het lek. De fix werd echter niet als beveiligingsadvies geclassificeerd, waardoor de meeste stabiele distributies met langetermijnondersteuning blootgesteld bleven, zo stelt beveiligingsbedrijf Qualys dat de kwetsbaarheid ontdekte. Het gaat hier om Debian 7 (wheezy), Red Hat Enterprise Linux 6 en 7 en Ubuntu 12.04.

"GHOST vormt een remote code execution-risico, wat het voor een aanvaller heel eenvoudig maakt om een machine binnen te dringen. Een aanvaller kan bijvoorbeeld een simpele e-mail versturen vanaf een Linuxsysteem en automatisch volledige toegang tot die machine krijgen”, zegt Wolfgang Kandek, Chief Technical Officer van Qualys. Beheerders en gebruikers krijgen het advies om de inmiddels beschikbare updates van hun leverancier te installeren.

Reacties (12)
28-01-2015, 10:24 door Anoniem
/panic mode.
kijken of we onze standaard OTAP procedure in stand kunnen en willen houden, of blind de updates er op slappen. /-)
28-01-2015, 10:32 door Mysterio
Oh jee, daar gaat weer een heilig huisje.
28-01-2015, 10:42 door Anoniem
In order to reach the overflow at line 157, the hostname argument must
meet the following requirements:

- Its first character must be a digit (line 127).

- Its last character must not be a dot (line 135).

- It must comprise only digits and dots (line 197) (we call this the
"digits-and-dots" requirement).

- It must be long enough to overflow the buffer. For example, the
non-reentrant gethostbyname*() functions initially allocate their
buffer with a call to malloc(1024) (the "1-KB" requirement).

(Source: http://seclists.org/oss-sec/2015/q1/283)
28-01-2015, 12:12 door Anoniem
oooh wat spannend hebben we eindelijk ook is wat:P
28-01-2015, 12:38 door Anoniem
Door Mysterio: Oh jee, daar gaat weer een heilig huisje.
Volgens het verhaal gaat het hier over distro's die op web- en mailservers draaien.
En Linux heeft dezelfde veiligheidsclassificatie als Windows, anders maak je jezelf maar wat wijs.
https://en.wikipedia.org/wiki/Evaluation_Assurance_Level
28-01-2015, 16:23 door Anoniem
"A remote attacker able to make an application call either of these functions could use this flaw to execute arbitrary code with the permissions of the user running the application." - uit de bug description

De hele computer overnemen is dus alleen mogelijk als het slachtoffer met root rechten is ingelogd op het moment van de aanval.
28-01-2015, 18:13 door [Account Verwijderd]
[Verwijderd]
28-01-2015, 18:42 door Anoniem
Er is al een C versie beschikbaar die je moet compilen, maar inmiddels is er ook al een Python variant openbaar.
Deze vond ik op het internet: http://the-s-unit.nl/ghost-py-checker
Dit betreft alleen een proof-of-concept natuurlijk, maar lijkt op het voorbeeld in:
http://www.openwall.com/lists/oss-security/2015/01/27/9
28-01-2015, 22:16 door ph-cofi
Fedora 21 Gnome workstation here. glibc 2.20-7.cf21. Not vulnerable volgens python checker (krijg antwoord ipv segfault). Mint 17 PC heeft libc-bin 2.19-0ubuntu6.5. Eveneens niet kwetsbaar. Verder neem ik aan dat de aanvaller niet meer rechten krijgt dan de ingelogde user ("zonder geldige inloggegevens" klinkt goddelijk).

Hoeveel miljoen Linux servers zullen wel kwetsbaar zijn? En al die devices met Linux erin die we in huis hebben?
28-01-2015, 23:11 door Anoniem
"During our testing, we developed a proof-of-concept in which we send a specially created e-mail to a mail server and can get a remote shell to the Linux machine. This bypasses all existing protections (like ASLR, PIE and NX) on both 32-bit and 64-bit systems."
29-01-2015, 09:44 door Anoniem
Door Anoniem: "During our testing, we developed a proof-of-concept in which we send a specially created e-mail to a mail server and can get a remote shell to the Linux machine. This bypasses all existing protections (like ASLR, PIE and NX) on both 32-bit and 64-bit systems."
Ja maar de manier waarop ze dat gedaan hebben vergt wel een specifieke configuratie (exim mailserver) en detail kennis
over de machine. Dit heeft lang niet de impact van bijvoorbeeld de bash vulnerability of het SSL probleem.
29-01-2015, 09:58 door Anoniem
"De hele computer overnemen is dus alleen mogelijk als het slachtoffer met root rechten is ingelogd op het moment van de aanval."

Nee, het gaat hier om de rechten van het useraccount waar het programma onder draait. Dit is niet perse een fysieke gebruiker.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.