Linux Glibc CVE-2015-0235 幽灵漏洞补丁检测方法及修复

4,037次阅读
没有评论

Linux Glibc CVE-2015-0235 幽灵漏洞补丁检测方法及修复

Linux glibc 函数库日前曝出名为 GHOST(幽灵) 的高危漏洞。幽灵漏洞是 Linux glibc 库上出现的一个严重的安全问题,他可以让攻击者在不了解系统的任何情况下远程获取操作系统的控制权限。目前他的 CVE 编号为 CVE-2015-0235。

什么是 glibc

glibc 是 GNU 发布的 libc 库,即 c 运行库。glibc 是 linux 系统中最底层的 api,几乎其它任何运行库都会依赖于 glibc。glibc 除了封装 linux 操作系统所提供的系统服务外,它本身也提供了许多其它一些必要功能服务的实现。glibc 囊括了几乎所有的 UNIX 通行的标准。

出现了什么漏洞

代码审计公司 Qualys 的研究人员在 glibc 库中的__nss_hostname_digits_dots() 函数中发现了一个缓冲区溢出的漏洞,这个 bug 可以经过 gethostbyname*() 函数被本地或者远程的触发。应用程序主要使用 gethostbyname*() 函数发起 DNS 请求,这个函数会将主机名称转换为 ip 地址。更多的细节可以从下面的视频中看到。

漏洞危害

这个漏洞造成了远程代码执行,攻击者可以利用此漏洞获取系统的完全控制权。

哪些版本和操作系统受影响?

第一个受影响的版本是 GNU C 库的 glibc-2.2,2000 年 11 月 10 号发布。我们已找出多种可以减轻漏洞的方式。我们发现他在 2013 年 5 月 21 号(在 glibc-2.17 和 glibc-2.18 发布之间)已经修复。不幸的是他们不认为这是个安全漏洞。从而导致许多稳定版本和长期版本暴露在外,其中包括 Debian 7 (wheezy),Red Hat Enterprise,Linux 6 & 7,CentOS 6 & 7,Ubuntu 12.04 等

目前 Debian、Red Hat Enterprise Linux、CentOS 和 Ubuntu 等 Linux 发行商已发布了漏洞补丁,用户只需要根据各发行版的安全公告升级 glibc 就可以修补漏洞,避免受到黑客的幽灵攻击。

修复方案

升级 glibc 库

RHEL/CentOS:sudo yum update glibc

Debian/Ubuntu : sudo apt-get clean ; sudo apt-get update ; sudo apt-get upgrade

测试漏洞是否存在: 

把下面的代码保存为 gistfile1.c

#include <netdb.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <errno.h>
 
#define CANARY "in_the_coal_mine"
 
struct {char buffer[1024];
  char canary[sizeof(CANARY)];
} temp = {"buffer", CANARY};
 
int main(void) {
  struct hostent resbuf;
  struct hostent *result;
  int herrno;
  int retval;
 
  /*** strlen (name) = size_needed - sizeof (*host_addr) - sizeof (*h_addr_ptrs) - 1; ***/
  size_t len = sizeof(temp.buffer) - 16*sizeof(unsigned char) - 2*sizeof(char *) - 1;
  char name[sizeof(temp.buffer)];
  memset(name, '0', len);
  name[len] = '\0';
 
  retval = gethostbyname_r(name, &resbuf, temp.buffer, sizeof(temp.buffer), &result, &herrno);
 
  if (strcmp(temp.canary, CANARY) != 0) {puts("vulnerable");
    exit(EXIT_SUCCESS);
  }
  if (retval == ERANGE) {puts("not vulnerable");
    exit(EXIT_SUCCESS);
  }
  puts("should not happen");
  exit(EXIT_FAILURE);
}
#* from http://www.openwall.com/lists/oss-security/2015/01/27/9 */

然后在服务器上执行:

gcc gistfile1.c -o CVE-2015-0235
 ./CVE-2015-0235

如果提示:vulnerable 就说明存在漏洞.

参考来源

Qualys Advisory: https://www.qualys.com/research/security-advisories/GHOST-CVE-2015-0235.txt

RedHat: https://rhn.redhat.com/errata/RHSA-2015-0090.html

Ubuntu: https://launchpad.net/ubuntu/+source/eglibc

Debian: https://security-tracker.debian.org/tracker/CVE-2015-0235

GNU C Library: http://www.gnu.org/software/libc/

正文完
 
VPSWe
版权声明:本站原创文章,由 VPSWe 2015-01-29发表,共计2161字。
转载说明:除特殊说明外本站文章皆由CC-4.0协议发布,转载请注明出处。
评论(没有评论)