Alvorlig Linux-bug fundet

Illustration: Virrage Images/Bigstock
En central del af Linux har vist en sårbarhed, der kan give hackere fuld adgang til et offers pc.

Sikkerhedseksperter har opdaget en kritisk fejl i GNU C Library (glibc), en nøglekomponent i Linux og andre operativsystemer, der kan efterlade talrige maskiner sårbare over for fjernstyrede angreb.

Det skriver The Register

Fejlen, som blev opdaget af Qualys og kaldt CVE-2015-0235, er kendt som en GHOST-sårbarhed, fordi den kan udløses af bibliotekets gethostbyname, familie af funktioner.

En angriber, der har held til at udnytte fejlen, kan potentielt få fuld kontrol over en berørt maskine uden på forhånd at kende system-login eller -kodeord. Et angreb udnytter ikke biblioteket direkte, men fordi så meget software afhænger af funktionerne i glibc, kan ethvert af de kørende programmer på maskinen være potentielt sårbare.

De udførlige detaljer kan ses på Qualys blog her., mens patches allerede er tilgængelige fra Debian, Red Hat og Ubuntu.

Qualys siger til The Register, at de har samarbejdet tæt med flere Linux-distributører for at komme sårbarheden til livs, inden den blev offentliggjort.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (16)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Michael Hansen

" In particular, we discovered that it was fixed on May 21, 2013
(between the releases of glibc-2.17 and glibc-2.18). Unfortunately, it
was not recognized as a security threat
; as a result, most stable and
long-term-support distributions were left exposed (and still are):
Debian 7 (wheezy), Red Hat Enterprise Linux 6 & 7, CentOS 6 & 7,
Ubuntu 12.04, for example."

  • 4
  • 0
Troels Henriksen

I betragtning af hvor mange Linux-systemer der efterhånden eksisterer uden GNU (f.eks. Android), så synes jeg efterhånden det er blevet lidt upræcist at have overskriften "Alvorlig Linux-bug fundet" når det drejer sig om en fejl i glibc. Glibc kører i grunden mig bekendt også på andet end Linux.

  • 7
  • 2
Richard Stallion

I'd just like to interject for a moment. What you're referring to as Linux, is in fact, GNU/Linux, or as I've recently taken to calling it, GNU plus Linux. Linux is not an operating system unto itself, but rather another free component of a fully functioning GNU system made useful by the GNU corelibs, shell utilities and vital system components comprising a full OS as defined by POSIX.
Many computer users run a modified version of the GNU system every day, without realizing it. Through a peculiar turn of events, the version of GNU which is widely used today is often called "Linux", and many of its users are not aware that it is basically the GNU system, developed by the GNU Project.
There really is a Linux, and these people are using it, but it is just a part of the system they use. Linux is the kernel: the program in the system that allocates the machine's resources to the other programs that you run. The kernel is an essential part of an operating system, but useless by itself; it can only function in the context of a complete operating system. Linux is normally used in combination with the GNU operating system: the whole system is basically GNU with Linux added, or GNU/Linux. All the so-called "Linux" distributions are really distributions of GNU/Linux.

  • 2
  • 5
Lars Skovlund

Vi der kører bleeding-edge har haft dette fix i lang tid, jævnfør advisory'et.
Jeg har kørt exploit-koden her (har ikke opdateret glibc i nogen tid:

lars@starfish:~$ gcc -o exploit exploit.c   
lars@starfish:~$ ./exploit   
not vulnerable  
lars@starfish:~$ 
  • 0
  • 0
Rune Thor Mårtensson

Fejlen, som blev opdaget af Qualys og kaldt CVE-2015-0235, er kendt som en GHOST-sårbarhed, fordi den kan udløses af bibliotekets gethostbyname, familie af funktioner.

Den er kendt som GHOST sårbarheden, ikke som en GHOST sårbarhed.
Hvis I læste jeres egne kilder ville dette være klart.

This bug is reachable both locally and remotely via
the gethostbyname*() functions, so we decided to analyze it -- and its
impact -- thoroughly, and named this vulnerability "GHOST".

  • 3
  • 0
Sune Marcher

Når man læser CVE'en så fremgår det klart at fejlen blev rettet august 2013.


Det er allerede nævnt af andre at buggen ikke har været opprioriteret nok, til at fix blev backported til LTS versioner af forskellige Linux distros.

Derudover er det værd at nævne at buggen blev introduceret helt tilbage i November 2000. En lille smule hovedregning resulterer i at "Golly, det er godt nok ret mange års pwn-mulighed".

Buggen er btw blevet identificeret og fixet mere end én gang, uden at folk har fået snakket ordentligt sammen, og gjort de rigtige opmærksom på hvor slemt det egentligt stod til.

  • 4
  • 0
Mikkel Kirkgaard Nielsen

Hvis I læste jeres egne kilder ville dette være klart.

Vedkommende journalist er tydeligvis ikke særlig bekendt med kode og programmering, men har så heller ikke fanget den sproglige detalje. Spørgsmålet er om vi kan forvente så snævert et fagkendskab og detalje-opmærksomhed, især af et dansksproget medie.

Synes GHOST er lidt en storm i et glas vand, sårbarheden kommer jo ikke bag på nogen, kun at konsekvenserne var mere alvorlige end først analyseret (og det er så det man burde snakke om at gøre bedre fremover).

De fleste distributioner havde opdateringer på vej, så det kun var et spørgsmål om at portere patches eller fremskynde release.

For Ubuntus vedkommende er GHOST næsten et no-issue, kun 10.04 og 12.04 var sårbare inden offentliggørelsen; http://www.ubuntu.com/usn/usn-2485-1/.

Debian var også dækket nogenlunde ind; https://security-tracker.debian.org/tracker/CVE-2015-0235.

Mikkel

  • 3
  • 1
Dan Johansen

Langt de fleste distroer har haft fixen i lang tid. Det er kun gamle LTS versioner, der "måske" har haft problemerne.

Jeg kører selv Manjaro (som er baseret på Arch), glibc versionen er lige nu 2.20, så det er nok længe siden den blev fixet på denne front.

  • 1
  • 0
Rune Larsen

For Ubuntus vedkommende er GHOST næsten et no-issue, kun 10.04 og 12.04 var sårbare

Kun?! 12.04 LTS er i support indtil 2017, og kører fortsat RIGTIG mange steder. Big issue i den virkelige verden! Release opgraderes som regel først når supporten udløber eller der mangler en feature/pakke.

SUSE har også releases i support, som var sårbare for GHOST, og mon ikke også det gælder for de andre store server distros.

  • 3
  • 0
Mikkel Kirkgaard Nielsen

Kun?! 12.04 LTS er i support indtil 2017, og kører fortsat RIGTIG mange steder. Big issue i den virkelige verden! Release opgraderes som regel først når supporten udløber eller der mangler en feature/pakke.

Ja, men det var da også netop supported-statussen der gjorde, at flinke folk havde forberedt at du kunne apt-get update/upgrade ved offentliggørelsen og så var issuet væk.
Et "big issue" er vel ikke at du skal vedligeholde din server? Hvis det er, så tror jeg du laver det forkerte, med al respekt.

Jeg er selv embedded udvikler (=normalt meget ringere mulighed for at opgradere end en netværksforbundet server) og har et halvt øje på et flok Ubuntu-servere (med både 10.04, 12.04 og 14.04), så jeg kender alt til at være konservativ med ændringer i software.

Jeg er helt enig med andre kommentarer, om at dette hul ideelt set ikke burde have stået åbent så længe, og det er netop det vi burde snakke om.

Hvordan forbedres proaktiv kode-analyse og derefter risiko-analyse for fundne sårbarheder? Specielt i fri software hvor der ikke er direkte økonomiske incitamenter for at dyrke disse discipliner.

Mikkel

  • 2
  • 1
Sune Marcher

Ja, men det var da også netop supported-statussen der gjorde, at flinke folk havde forberedt at du kunne apt-get update/upgrade ved offentliggørelsen og så var issuet væk.
Et "big issue" er vel ikke at du skal vedligeholde din server? Hvis det er, så tror jeg du laver det forkerte, med al respekt.


Der er naturligvis ingen der kendte til exploitability af buggen, før der kom et fint blogpost med fint logo og fin CVE. host.

Nej, det er ikke Big Issue at man skal vedligeholde sine servere. Det er Big Issue at en alvorlig bug ikke er blevet opklassificeret nok til at blive backported rettidigt. På trods af den er blevet opdaget flere gange over en længere tidsperiode.

  • 1
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize