GHOST-haavoittuvuus (CVE-2015-0235)

GNU C, eli [tt]glibc[/tt]-kirjastosta on löytynyt haavoittuvuus.

[ul][li]https://www.viestintavirasto.fi/tietoturva/haavoittuvuudet/2015/haavoittuvuus-2015-006.html[/li]
[li]https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2015-0235[/li]
[li]https://security-tracker.debian.org/tracker/CVE-2015-0235[/li][/ul]

Korjaus:
Haavoittuvuus korjataan asentamalla paikattu versio [tt]glibc[/tt]-kirjastosta, jonka jakelut toimittavat päivitysten mukana automaattisesti. Tämän jälkeen kyseistä kirjastoa käyttävät ohjelmat tulee käynnistää uudelleen. Listan uudelleen käynnistettävistä ohjelmista saa komennolla:

Helpointa on kuitenkin käynnistää koneet kokonaan uudelleen.

Testaus:
Oman järjestelmän voi testata seuraavalla ohjelmalla (kopioitu openwall.com -sivulta, katso lisätietoa alempana):

[code]$ cat > GHOST.c << EOF
#include <netdb.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <errno.h>

#define CANARY “in_the_coal_mine”

struct {
char buffer[1024];
char canary[sizeof(CANARY)];
} temp = { “buffer”, CANARY };

int main(void) {
struct hostent resbuf;
struct hostent *result;
int herrno;
int retval;

/*** strlen (name) = size_needed - sizeof (*host_addr) - sizeof (*h_addr_ptrs) - 1; */
size_t len = sizeof(temp.buffer) - 16
sizeof(unsigned char) - 2
sizeof(char *) - 1;
char name[sizeof(temp.buffer)];
memset(name, ‘0’, len);
name[len] = ‘\0’;

retval = gethostbyname_r(name, &resbuf, temp.buffer, sizeof(temp.buffer), &result, &herrno);

if (strcmp(temp.canary, CANARY) != 0) {
puts(“vulnerable”);
exit(EXIT_SUCCESS);
}
if (retval == ERANGE) {
puts(“not vulnerable”);
exit(EXIT_SUCCESS);
}
puts(“should not happen”);
exit(EXIT_FAILURE);
}
EOF[/code]

Ainakin Fedora 21 -jakelulla antaa tulokseksi:

$ ./GHOST not vulnerable

Lisätietoa:

[ul][li]https://community.qualys.com/blogs/laws-of-vulnerabilities/2015/01/27/the-ghost-vulnerability[/li]
[li]http://www.openwall.com/lists/oss-security/2015/01/27/9[/li][/ul]

Ei ole vielä pclinuxos:sään saatavilla päivitystä. Kuinkahan kriittinen tämä aukko on? Mitä konsteja mahdollinen hyökkääjä käyttää, että löytää haavoittuneen koneen? Voiko tuolta mitenkään suojautua ennen kuin päivitys on saatavissa?

Ongelma koskee lähinnä LTS-jakeluita, koska ne käyttävät vanhempia versioita sovelluksista. Ongelma on korjattu jo toukokuussa 2013, [tt]glibc-2.18[/tt] -versiossa, eli vajaa kaksi vuotta sitten. Tuolloin sitä ei tunnistettu tietoturvaongelmaksi, joten se jäi paikkaamatta joistain jakeluista.

Viestintäviraston sivulla ei ole mainintaa PCLinuxOS-jakelusta, mutta suurella todennäköisyydellä siinä on korjattu versio kirjastosta. Voithan kokeilla tuolla aiemman viestini ohjelmalla tai sitten suoraan katsomalla kirjaston version.

Voit tarkistaa version RPM-pohjaisessa jakelussa esimerkiksi komennolla:

rpm -q glibc

Viestintäviraston sivulta:

[b]Haavoittuvat ohjelmistot:[/b]

Glibc-kirjaston versiot välillä 2.2 ja 2.17. Haavoittuvan kirjastoversion sisältäviä Linux-jakeluita ovat muun muassa seuraavat:

[ul][li]Debian 7 (wheezy)[/li]
[li]Red Hat Enterprise Linux 6 ja 7[/li]
[li]CentOS 6 ja 7[/li]
[li]Ubuntu 12.04[/li][/ul]

Tässä pclinuxos:ssä on paketti versio: glibc-2.16-4pclos2013. Tuo GHOST-testi antaa statuksen : vulnerable. Uutisissa puhuttiin palvelimista ja kaappauksen mahdollisuuden sähköpostin kautta. Eli ei tämä niin iso riski näköjään ole peruskäyttäjälle tai ainakaan minulle. Päivitän tuon paketin normaalisti sitten, kun se tulee jakelun lähteisiin.

Ahaa, PCLinuxOS ei olekaan päivittänyt sitä vielä. Itsellä ei ole kokemusta PCLinuxOS-jakelusta, niin en niin tarkkaan tiedä miten uusia ohjelmia he käyttävät ja miten päivittävät vanhoja versioita.

Näköjään tällä hetkellä siellä testataan uutta versiota.
http://www.pclinuxos.com/forum/index.php?topic=130520.0

Jos käytät esimerkiksi SSH-palvelinta, tai jotain muita palvelinsovelluksia, varmista ainakin ettei ne kuuntele ulkomaailmaa. Tosiaan oikeassa olet, tavallisella työpöytäkäyttäjällä ei pitäisi olla mitään hätää.

http://forum.ubuntu-fi.org/index.php?topic=48326.msg370655#msg370655

Nyt on myös pclinuxos:sään saatavilla päivitys.