创意安天

 找回密码
 注册创意安天

GHOST glibc远程代码执行漏洞会影响所有的Linux系统【安天技术公益翻译组译注】

[复制链接]
发表于 2015-9-10 09:13 | 显示全部楼层 |阅读模式

  GHOST glibc远程代码执行漏洞会影响所有的Linux系统

非官方中文译文•安天技术公益翻译组译注
文档信息
原文名称
GHOST glibc Remote Code Execution  Vulnerability Affects All Linux Systems
原文作者
Michael Mimoso
原文发布日期
2015年1月27日
作者简介
Michael Mimoso是一名经验丰富的记者,拥有超过15年的网站、杂志和报纸的撰写和编辑经验。
  
原文发布单位
Threatpost
原文出处
译者
安天技术公益翻译组
校对者
安天技术公益翻译组
免责声明
•     本译文译者为安天实验室工程师,本文系出自个人兴趣在业余时间所译,本文原文来自互联网的公共方式,译者力图忠于所获得之电子版本进行翻译,但受翻译水平和技术水平所限,不能完全保证译文完全与原文含义一致,同时对所获得原文是否存在臆造、或者是否与其原始版本一致未进行可靠性验证和评价。
  
•     本译文对应原文所有观点亦不受本译文中任何打字、排版、印刷或翻译错误的影响。译者与安天实验室不对译文及原文中包含或引用的信息的真实性、准确性、可靠性、或完整性提供任何明示或暗示的保证。译者与安天实验室亦对原文和译文的任何内容不承担任何责任。翻译本文的行为不代表译者和安天实验室对原文立场持有任何立场和态度。
  
•     译者与安天实验室均与原作者与原始发布者没有联系,亦未获得相关的版权授权,鉴于译者及安天实验室出于学习参考之目的翻译本文,而无出版、发售译文等任何商业利益意图,因此亦不对任何可能因此导致的版权问题承担责任。
  
•     本文为安天内部参考文献,主要用于安天实验室内部进行外语和技术学习使用,亦向中国大陆境内的网络安全领域的研究人士进行有限分享。望尊重译者的劳动和意愿,不得以任何方式修改本译文。译者和安天实验室并未授权任何人士和第三方二次分享本译文,因此第三方对本译文的全部或者部分所做的分享、传播、报道、张贴行为,及所带来的后果与译者和安天实验室无关。本译文亦不得用于任何商业目的,基于上述问题产生的法律责任,译者与安天实验室一律不予承担。
  


GHOST glibc远程代码执行漏洞会影响所有的Linux系统
Michael Mimoso
2015年1月27日

1.jpg


Glibc(GNU C库)中发现了一个严重的漏洞,该漏洞能够影响所有追溯至2000年的Linux系统。攻击者可以利用该漏洞来执行代码并远程控制Linux机器。

该漏洞源于glibc的函数__nss_hostname_digits_dots()的基于堆的缓冲区溢出。这一特殊的函数由_gethostbyname函数调用。

“远程攻击者能够调用这些函数的任意一个,在获得运行该程序的用户的许可的情况下,能够利用该漏洞执行任意代码”,Linux发行商Red Hat的公告说。该漏洞被命名为CVE-2015-0235,由于其与_gethostbyname函数的关联被戏称为GHOST。Qualys公司的研究人员发现了该漏洞,认为第一个被感染的glibc版本是2000年11月发布的Linux系统的glibc2.2。

根据Qualys,2013年5月21日(界于glibc-2.17和glibc-2.18发布之间),该问题的缓解方案被发布。

“不幸的是,它没有被视为一个安全威胁;其结果是,最稳定的和长期发行的操作系统遭到了感染,包括Debian 7(wheezy)、Red Hat Enterprise Linux 6和7、CentOS 6和7、Ubuntu12.04等”,Qualys公司的公告这样说。

各个Linux发行版将会发布补丁;RedHat发布了Red Hat Enterprise Linux v.5服务器的更新。Novell公司列出了被该漏洞感染的SUSE Linux Enterprise Server的列表。Debian已经发布了解决该漏洞的软件更新。

“该漏洞随处可见,因此情况很紧迫。该漏洞已经感染glibc很长一段时间了。最近它被修复,但是没有被视为一个安全问题,所以较新的版本应该没问题”,Red Hat安全响应团队的成员Josh Bressers这样说,“从威胁层面来看,该漏洞针对使用该函数的系统”。

不像过去的互联网范围的bug(如Bash),修补glibc未必是件苦差事。“在这种情况下,你只要应用glibc更新,并重新启动任何有漏洞的服务”,Bressers说,“它不像Shellshock那样令人迷惑”。

Qualys公司不仅在公告中分享了极为深入的GHOST技术信息,还介绍了Exim SMTP邮件服务器的漏洞利用。该公告展示了如何绕过NX(即No-eXecute,不可执行)保护方案以及glibc malloc的硬化。

除了2013年的补丁,Qualys公司还介绍了其它能够缓解该漏洞影响的因素,包括以下事实:由于IPv6和较新的应用使用不同的函数调用getaddrinfo(),gethostbyname函数已经过时了。虽然该漏洞也可本地利用,但是这种情况的可能性也大大降低了,原因是:只有在初步调用失败,二次调用成功的情况下,许多程序才会依靠gethostbyname实现溢出。公告说这是“不可能的”,所以那些程序是安全的。

Qualys说,远程漏洞利用也有所缓解。例如,服务器使用gethostbyname来执行全周期反向DNS检查。“这些程序一般都是安全的,因为传递到gethostbyname()的主机名通常会由DNS软件预先验证”,该公告说。

“目前看来,这并不是一个很严重的远程问题”,Bressers说。

虽然该漏洞可能自2000年以来一直处于休眠状态,但是我们无法确定罪犯或政府资助的黑客是否在利用该漏洞。该漏洞的信息已经公开,一旦合法的安全研究人员和黑客们开始进行研究,谁也没办法预测将会发生什么。在Bash的案例中,没过多久就出现了其他的安全问题。

安天公益翻译(非官方中文译本): GHOST glibc远程代码执行漏洞影响所有的Linux系统[非官方中文译文•安天技术公.pdf (358.63 KB, 下载次数: 113)
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

小黑屋|手机版|Archiver|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-3-29 18:58

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表