GHOST 漏 洞
非官方中文译文•安天技术公益翻译组译注 | | | | | | | | | | | | | | | | | | • 本译文译者为安天实验室工程师,本文系出自个人兴趣在业余时间所译,本文原文来自互联网的公共方式,译者力图忠于所获得之电子版本进行翻译,但受翻译水平和技术水平所限,不能完全保证译文完全与原文含义一致,同时对所获得原文是否存在臆造、或者是否与其原始版本一致未进行可靠性验证和评价。 • 本译文对应原文所有观点亦不受本译文中任何打字、排版、印刷或翻译错误的影响。译者与安天实验室不对译文及原文中包含或引用的信息的真实性、准确性、可靠性、或完整性提供任何明示或暗示的保证。译者与安天实验室亦对原文和译文的任何内容不承担任何责任。翻译本文的行为不代表译者和安天实验室对原文立场持有任何立场和态度。 • 译者与安天实验室均与原作者与原始发布者没有联系,亦未获得相关的版权授权,鉴于译者及安天实验室出于学习参考之目的翻译本文,而无出版、发售译文等任何商业利益意图,因此亦不对任何可能因此导致的版权问题承担责任。 • 本文为安天内部参考文献,主要用于安天实验室内部进行外语和技术学习使用,亦向中国大陆境内的网络安全领域的研究人士进行有限分享。望尊重译者的劳动和意愿,不得以任何方式修改本译文。译者和安天实验室并未授权任何人士和第三方二次分享本译文,因此第三方对本译文的全部或者部分所做的分享、传播、报道、张贴行为,及所带来的后果与译者和安天实验室无关。本译文亦不得用于任何商业目的,基于上述问题产生的法律责任,译者与安天实验室一律不予承担。
|
GHOST 漏 洞
Wolfgang Kandek 2015年1月27日
GHOST(幽灵)漏洞是Linux glibc库的一个严重漏洞。它使得攻击者能够远程完全控制受害系统,而无需事先获取系统凭证。该漏洞被命名为CVE-2015-0235。
Qualys公司的安全研究人员发现了这个bug(错误),并与Linux发行商密切合作。通过协作,我们得以在今天发布此通报,补丁也于2015年1月27日发布。
Glibc是什么?
Glibc (即GNU C库)是Linux操作系统的标准C库实现和核心部分。如果没有这个库,Linux系统将无法正常运作。
GHOST漏洞是什么?
在代码审核中,Qualys的研究人员发现了glibc的函数__nss_hostname_digits_dots()出现缓冲区溢出。此bug可以通过所有的gethostbyname*()函数本地和远程触发。应用程序主要通过gethostbyname*()函数集合访问DNS解析器。这些函数将主机名转换为IP地址。
更多细节可以参考YouTube采访视频。
风险如何?
该漏洞导致了远程代码执行风险。利用该漏洞的攻击者可以获取被感染系统的完全控制权。
真有这种风险?
在测试中,我们设计了一个概念验证,向邮件服务器发送特别创建的电子邮件,并可以得到Linux机器的一个远程shell。这样能够绕过32位和64位系统的所有现有保护方案(如ASLR,PIE和NX)。
如何降低风险?
为了降低风险,最好的方法是采用Linux厂商的补丁。Qualys公司已经与Linux发行商紧密合作,补丁程序已于2015年1月27日发布。
为什么称为GHOST漏洞?
该漏洞能够被GetHOST函数触发,因此被称为GHOST漏洞。
这是一个设计缺陷?
不是的,这是被感染的软件版本的实现问题。
哪些版本和操作系统受到影响?
第一个受到影响的GNU C库是发布于2000年11月10日的glibc-2.2。我们确定了一些缓解该bug影响的因素。特别是,我们发现,它在2013年5月21日(界于glibc-2.17和glibc-2.18的发布之间)被修复。不幸的是,它没有被视为一个安全威胁;其结果是,最稳定的和长期发行的操作系统遭到了感染,包括Debian 7 (wheezy)、Red Hat Enterprise Linux 6和7、CentOS 6和7、Ubuntu12.04等。
哪里可以下载该漏洞?
我们希望给大家足够的时间进行修复。根据我们的数据,一旦该漏洞已经到达其半衰期,我们将会发布该漏洞。半衰期是指漏洞出现量减半所需要的时间。随着时间的推移,这个指标显示了消除漏洞的举措效果如何。较短的半衰期意味着更快的恢复。半衰期一词最初是由Qualys公司在“漏洞原理”板块使用的。
Qualys的客户可以用Qualys Vulnerability Management云解决方案(即QID123191)来检测GHOST漏洞。这意味着Qualys的客户可以得到其企业受影响程度的报告,从而了解GHOST漏洞对其企业的影响,有效地追踪这一严重漏洞的修复过程。
参考文献
| 
发表于 2015-9-9 16:26
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡