Pagina 1 di 1

[GHOST] Gravissima falla di sicurezza

Inviato: mer 28 gen 2015, 14:38
da ZeroUno
A quanto pare recentemente si stanno scoprendo tutti i bug sconosciuti che affettano i sistemi da tanti anni, per esempio bash con shellshock che aveva una vulnerabilità inserita chissà quanti anni fa e scoperta solo di recente, idem openssl con heartbleed

Ora è la volta delle glibc con il bug GHOST che non sta per Fantasma ma per l'abbreviazione del nome della funzione gethostbyname della glibc 2.2 e successiva; praticamente sono affetti tutti i pacchetti che fanno uso della rete (kernel, ssh, apache, mailserver ma anche browser, client mail ecc ecc) e probabilmente anche quelli che non usano la rete.

http://punto-informatico.it/4217252/PI/ ... linux.aspx


quale sarà la prossima?

Re: [GHOST] Gravissima falla di sicurezza

Inviato: mer 28 gen 2015, 15:28
da brg
Questa vulnerabilità è stata patchata (che brutto termine :? ) già nell'agosto 2013 con le glibc 2.18. Colpisce solo le glibc dalle versioni 2.2 a 2.17. Detto questo, aspetto l'aggiornamento di sicurezza di Slackware, che usa la versione 2.17, ma senza troppo timori: non è una falla facilmente sfruttabile, specialmente per un utente desktop.

Dal messaggio che ne spiega il funzionamento:

Codice: Seleziona tutto

--[ 3 - Mitigating factors ]--------------------------------------------------

The impact of this bug is reduced significantly by the following
reasons:

- A patch already exists (since May 21, 2013), and has been applied and
  tested since glibc-2.18, released on August 12, 2013:

        [BZ #15014]
        * nss/getXXbyYY_r.c (INTERNAL (REENTRANT_NAME))
        [HANDLE_DIGITS_DOTS]: Set any_service when digits-dots parsing was
        successful.
        * nss/digits_dots.c (__nss_hostname_digits_dots): Remove
        redundant variable declarations and reallocation of buffer when
        parsing as IPv6 address.  Always set NSS status when called from
        reentrant functions.  Use NETDB_INTERNAL instead of TRY_AGAIN when
        buffer too small.  Correct computation of needed size.
        * nss/Makefile (tests): Add test-digits-dots.
        * nss/test-digits-dots.c: New test.

- The gethostbyname*() functions are obsolete; with the advent of IPv6,
  recent applications use getaddrinfo() instead.

- Many programs, especially SUID binaries reachable locally, use
  gethostbyname() if, and only if, a preliminary call to inet_aton()
  fails. However, a subsequent call must also succeed (the "inet-aton"
  requirement) in order to reach the overflow: this is impossible, and
  such programs are therefore safe.

- Most of the other programs, especially servers reachable remotely, use
  gethostbyname() to perform forward-confirmed reverse DNS (FCrDNS, also
  known as full-circle reverse DNS) checks. These programs are generally
  safe, because the hostname passed to gethostbyname() has normally been
  pre-validated by DNS software:

  . "a string of labels each containing up to 63 8-bit octets, separated
    by dots, and with a maximum total of 255 octets." This makes it
    impossible to satisfy the "1-KB" requirement.

  . Actually, glibc's DNS resolver can produce hostnames of up to
    (almost) 1025 characters (in case of bit-string labels, and special
    or non-printable characters). But this introduces backslashes ('\\')
    and makes it impossible to satisfy the "digits-and-dots"
    requirement.

All'atto pratico è molto difficile poter sfruttare questa falla per effettuare con successo un attacco informatico di qualunque tipo.

Re: [GHOST] Gravissima falla di sicurezza

Inviato: mer 28 gen 2015, 15:48
da ponce
ZeroUno ha scritto: praticamente sono affetti tutti i pacchetti che fanno uso della rete (kernel, ssh, apache, mailserver ma anche browser, client mail ecc ecc)
in realta' no, giusto exim (installato di default su Debian)

http://www.theregister.co.uk/2015/01/27 ... erability/
According to Qualys, GHOST is not as widespread as it could be. The buggy routines in question are outdated and are no longer used by much software. Where they are used, they typically aren't called in a way meets the criteria for the exploit.

Qualys says it has tested a number of other applications and servers that make use of the affected functions and has determined that they are not vulnerable, including apache, cups, dovecot, gnupg, isc-dhcp, lighttpd, mariadb/mysql, nfs-utils, nginx, nodejs, openldap, openssh, postfix, proftpd, pure-ftpd, rsyslog, samba, sendmail, sysklogd, syslog-ng, tcp_wrappers, vsftpd, and xinetd.

Re: [GHOST] Gravissima falla di sicurezza

Inviato: mer 28 gen 2015, 17:41
da ZeroUno
però non basta dire 'apache' 'openssh' ecc ma anche la versione.
Per esempio al lavoro ho server redhat5 che ha ssh 4.3 e glibc 2.5 perchè è una distribuzione LTS. I pacchetti hanno parecchi backport di patch dai superiori, ma sempre quella versione è.
redhat ha già tirato fuori la patch di glibc e nscd.
La segnalazione del 2013 non era stata segnalata come bug di sicurezza, quindi pochi l'hanno implementata.

Re: [GHOST] Gravissima falla di sicurezza

Inviato: mer 28 gen 2015, 18:10
da brg
ZeroUno ha scritto:La segnalazione del 2013 non era stata segnalata come bug di sicurezza, quindi pochi l'hanno implementata.
Non è stata segnalata come bug di sicurezza perché fa riferimento ad una funzione deprecata dal 1999 ed eliminata dallo standard POSIX dal 2008. In pratica è supportata dalla libreria GNU solo per avere retrocompatibilità con software molto vecchio. Inoltre, come fa notare il messaggio di annuncio del bug, anche in quei casi in cui è presente l'uso di gethostbyname(), è difficile che ciò sia sfruttabile per un attacco.

Re: [GHOST] Gravissima falla di sicurezza

Inviato: mer 28 gen 2015, 21:25
da ponce
giusto per completezza linko anche il thread di oss-sec
http://seclists.org/oss-sec/2015/q1/283

Re: [GHOST] Gravissima falla di sicurezza

Inviato: mer 28 gen 2015, 22:15
da ZeroUno
Pat ha rilasciato la fix per slackware.

Per current è solo glibc-zoneinfo, per 14.1 anche gli altri.

Re: [GHOST] Gravissima falla di sicurezza

Inviato: gio 29 gen 2015, 7:56
da ponce