Alvorligt DNS-hul i det udbredte open source-bibliotek glibc
Det udbredte softwarebibliotek glibc, der blandt andet anvendes i Linux, indeholder en buffer overflow-fejl, som gør det muligt for en angriber at eksekvere kode på en klient.
Det fortæller Google om i et blogindlæg.
Specifikt er der tale om en fejl i glibc, der har eksisteret siden version 2.9. Fejlen muliggør et bufferoverflow-angreb, når klienten kalder funktionen getaddrinfo(). Funktionen bliver ifølge BBC News brugt til at omsætte et domænenavn til en ip-adresse.
»Software der anvender denne funktion kan blive forsøgt udnyttet via angriberkontrollerede domænenavne, angriberkontrollerede DNS-servere eller gennem et man-in-the-middle-angreb,« står der i Googles blogindlæg.
Google har i samarbejde med Red Hat undersøgt problemets omfang og udarbejdet en patch. Fejlen i glibc blev registreret helt tilbage i juli 2015, men den blev i første omgang flaget som havende lav prioritet. Først senere har Google og Red Hat kortlagt omfanget af sårbarheden.
Google linker til et Proof of Concept på GitHub, så det er muligt selv at undersøge, hvorvidt ens klientmiljø er sårbart. PoC'et er ikke weaponized, som Google bemærker i blogindlægget. Det vil sige, det ikke er sat sammen på en måde, så kan bruges til faktisk at angribe en klient med.
Det skulle - heldigvis - være vanskeligt at udnytte sårbarheden i glibc, fremgår det af blogindlægget.
Eksempelvis kræver det, at en angriber omgår eventuelle sikkerhedsmekanismer i klientmiljøet som ASLR (Address space layout randomization) før et angreb kan gennemføres.
Katastrofalt scenarie eller lige ved og næsten
BBC News har talt med professor Alan Woodward fra University of Surrey om problemet. Han bliver introduceret som sikkerhedsekspert.
»Mange folk render rundt lige nu og forsøger at regne ud, hvorvidt dette virkeligt er et katastrofalt scenarie, eller om vi har undgået en kugle.«
Windows-systemer og systemer med OS X er ifølge BBC ikke berørte. Og Android-enheder anvender ifølge det britiske medie et andet bibliotek end glibc, og derfor er disse enheder heller ikke sårbare.
Udover Linux-systemer, der måske uden videre kan opdateres med en ikke-sårbar udgave af glibc, så er der alle de internetforbundne enheder, som routere, der også kan være sårbare, og som måske ikke uden videre modtager en opdatering.
»Tænk routere og i stadig større grad alt, som bliver betragtet som værende en del af 'Internet of Things',« siger Woodward til BBC.
Ifølge BBC er glibc-sårbarheden blevet sammenlignet med Shellshock fra 2014. Det var en alvorlig sårbarhed i Bash, som også gjorde det muligt for en angriber at eksekvere kode på systemer med Linux.
Det fremgik tidligere af blandt andet artiklens overskrift, at sårbarheden er i libc. Det rigtige bibliotek er glibc.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
