14‑letni GHOST straszy użytkowników Linuksa, łatki na glibc już dostępne

Lista podatnych na atak aplikacji jest spora. Wystarczy wysłaćzłośliwą wiadomość do klienta lub serwera poczty na linuksowejmaszynie, by uzyskać dostęp do jej powłoki. Podatne są też są wpewnych okolicznościach narzędzia clockdiff, ping i arping, a takżefiltr poczty procmail i demon pppd. Winę ponosi błąd przepełnieniabuforu w funkcji __nss_hostname_digits_dots(), wbudowanej w kluczowądla Linuksa bibliotekę glibc (implementację bibliotekistandardowej języka C).

Odkryty podczas audytu kodu glibc błąd możnawywołać zarówno lokalnie jak i zdalnie poprzez wszystkie funkcjegethostbyname*(), stosowane przez aplikacje mające dostęp do serwerówDNS, by przekształcić adres w postaci domenowej na adres IP – istąd też nazwa luki, GHOST (od GetHOST). Opracowany przez badaczyQualysa exploit pozwolił na zdalne uruchomienie powłoki nazatakowanej maszynie, pomimo wszelkich zabezpieczeń, takich jak PIE,ASLR i NX.

Ten błąd w kodzie glibc pojawił się po raz pierwszy w wydaniu 2.2biblioteki, 10 listopada 2000 roku. Pewne poprawki wprowadzone w 2013roku, między wydaniami 2.17 i 2.18 miały ograniczyć zagrożenie, alenie rozpoznano wówczas natury błędu. Wskutek tego w większościdystrybucji o długim okresie wsparcia błąd pozostał – dotkniętesą nim m.in. RHEL 6 i 7, CentOS 6 i 7, Debian 7 i Ubuntu 12.04. Znowszych systemów – odporne są Ubuntu 14.04 i Fedora 20.

Dzięki odpowiedzialnemu procesowi ujawnienia 14-letniej luki, niepowinna dłużej już trapić użytkowników, wciąż przecież powszechnieużywanych (szczególnie na serwerach) systemów. Nowe wersje glibcpojawiły się w repozytoriach Debiana, Ubuntu, Red Hata i CentOS-a.Póki co Qualys nie wydał gotowego exploita, zrobi to dopiero wtedy,gdy liczba podatnych na atak systemów zmniejszy się o połowę (tzw.połowiczny rozpad podatności).