Erfordert die Ghost-Sicherheitsanfälligkeit den Zugriff (als angemeldeter Benutzer) auf das betroffene Betriebssystem? Kann jemand den "Remote-Angreifer, der einen Anwendungsaufruf tätigen kann" klären? Ich finde anscheinend nur Tests, die direkt auf dem lokalen System ausgeführt werden können, aber nicht von einem Remote-Host.
Alle Informationen, die ich bisher über die Ghost-Sicherheitsanfälligkeit aus mehreren Quellen gesammelt habe (Gutschriften für diese Quellen), habe ich unten in einer Antwort veröffentlicht, falls jemand anderes neugierig ist.
Bearbeiten, ich habe meine Antwort gefunden :
Während eines Code-Audits entdeckten die Forscher von Qualys einen Pufferüberlauf in der Funktion __nss_hostname_digits_dots () von glibc. Dieser Fehler kann sowohl lokal als auch remote über alle Funktionen von gethostbyname * () ausgelöst werden . Anwendungen können auf den DNS-Resolver hauptsächlich über den Funktionssatz gethostbyname * () zugreifen. Diese Funktionen konvertieren einen Hostnamen in eine IP-Adresse.
quelle
Antworten:
Antwort auf meine Frage von Qualys :
Meine unten zusammengestellten Recherchen für alle anderen, die suchen:
Haftungsausschluss
Ungeachtet dessen, was viele andere Threads / Blogs zu Ihnen sagen könnten, empfehle ich, nicht jedes einzelne Betriebssystem, das Sie haben, sofort blind zu
glibc
aktualisieren, ohne diese Updates gründlich zu testen . Es wurde berichtet, dass die glibc-Updates massive Anwendungsfehler verursacht haben, die dazu führten, dass Benutzer ihre glibc-Updates auf die vorherige Version zurücksetzen mussten.Man aktualisiert eine Produktionsumgebung nicht einfach in Massen, ohne sie zu testen.
Hintergrundinformation
GHOST ist ein 'Buffer Overflow'-Fehler, der die Funktionsaufrufe gethostbyname () und gethostbyname2 () in der glibc-Bibliothek betrifft. Diese Sicherheitsanfälligkeit ermöglicht einem Remoteangreifer, der eine dieser Funktionen über eine Anwendung aufrufen kann, um beliebigen Code mit den Berechtigungen des Benutzers auszuführen, der die Anwendung ausführt.
Einschlag
Die Funktionsaufrufe gethostbyname () werden für die DNS-Auflösung verwendet, was ein sehr häufiges Ereignis ist. Um diese Sicherheitsanfälligkeit auszunutzen, muss ein Angreifer einen Pufferüberlauf auslösen, indem er einer Anwendung, die eine DNS-Auflösung durchführt, ein ungültiges Hostnamenargument bereitstellt.
Aktuelle Liste der betroffenen Linux-Distributionen
RHEL (Red Hat Enterprise Linux) Version 5.x, 6.x und 7.x
CentOS Linux Version 5.x, 6.x & 7.x
Ubuntu Linux Version 10.04, 12.04 LTS
Debian Linux Version 6.x, 7.x
Linux Mint Version 13.0
Fedora Linux Version 19 (oder älter sollte upgraden)
SUSE Linux Enterprise
openSUSE (ältere Versionen als 11 sollten upgraden)
Welche Pakete / Anwendungen verwenden die gelöschte glibc noch?
( Dank an Gilles )
Für CentOS / RHEL / Fedora / Scientific Linux:
Für Ubuntu / Debian Linux:
Welche C-Bibliotheksversion (glibc) verwendet mein Linux-System?
Der einfachste Weg, die Versionsnummer zu überprüfen, besteht darin, den folgenden Befehl auszuführen:
Beispielausgaben von RHEL / CentOS Linux v6.6:
Beispielausgaben von Ubuntu Linux 12.04.5 LTS:
Beispielausgaben von Debian Linux v7.8:
GHOST-Schwachstellenüberprüfung
Die University of Chicago hostet das folgende Skript zum einfachen Herunterladen:
Kompilieren Sie und führen Sie es wie folgt aus:
Red Hat Access Lab: GHOST-ToolVerwenden Sie dieses Tool nicht, da die Berichterstellung falsch ist und der Vulnerability Checker von Qualys korrekt ist.Patchen
CentOS / RHEL / Fedora / Scientific Linux
Jetzt neu starten, um wirksam zu werden:
Wenn Ihr Mirror nicht die neuesten Pakete enthält, können Sie diese auch manuell herunterladen. * Hinweis: Für fortgeschrittene Benutzer
CentOS 5
CentOS 6
Ubuntu / Debian Linux
Neustart:
SUSE Linux Enterprise
Verwenden Sie zum Installieren dieses SUSE-Sicherheitsupdates YaST online_update. Oder verwenden Sie die folgenden Befehle gemäß Ihrer Version:
SUSE Linux Enterprise-Software-Entwicklungskit 11 SP3
SUSE Linux Enterprise Server 11 SP3 für VMware
SUSE Linux Enterprise Server 11 SP3
LTSS für SUSE Linux Enterprise Server 11 SP2
LTSS für SUSE Linux Enterprise Server 11 SP1
SUSE Linux Enterprise Desktop 11 SP3
Führen Sie zum Schluss alle SUSE Linux-Versionen aus, um Ihr System auf den neuesten Stand zu bringen:
OpenSUSE Linux
Geben Sie Folgendes ein, um eine Liste der verfügbaren Updates einschließlich glibc unter OpenSUSE Linux anzuzeigen:
Führen Sie Folgendes aus, um installierte glibc-Pakete einfach mit den neueren verfügbaren Versionen zu aktualisieren:
Fast jedes Programm, das auf Ihrem Computer ausgeführt wird, verwendet glibc. Sie müssen jeden Dienst oder jede Anwendung, die glibc verwendet, neu starten, um sicherzustellen, dass der Patch wirksam wird. Daher wird ein Neustart empfohlen.
Wie starte ich init neu, ohne das System neu zu starten oder zu beeinflussen?
Um die Bedrohung in begrenztem Umfang sofort zu mindern, müssen Sie die umgekehrten DNS-Überprüfungen in allen Ihren öffentlich zugänglichen Diensten deaktivieren. Sie können beispielsweise die umgekehrte DNS-Überprüfung in SSH deaktivieren, indem Sie in Ihrem System
UseDNS
aufno
festlegen/etc/ssh/sshd_config
.Quellen (und weitere Informationen):
quelle