В библиотеке GNU C обнаружена уязвимость


Был выпущен патч для ошибки переполнения буфера, обнаруженной в распознавателе DNS на стороне клиента glibc. Уязвимость потенциально затрагивает сотни тысяч устройств, подключенных к Интернету, и ее публикация увеличивает риск!

Подробная информация об ошибке, решении и способах запуска неправильного управления буфером, для исправления которого она предназначена, содержится в сообщении об исправлении, распространенном Карлосом О’Донеллом из Red Hat.

Переполнение буфера — ситуация, которая возникает, когда программа или процесс пытается сохранить больше данных, чем выделенная ей память, теоретически дает возможность внедрить вредоносный код. Поэтому очень беспокоит то, что он был обнаружен в gilbc, популярном собрании открытого исходного кода, широко используемом в Linux. Он затрагивает версии 2.9 и более поздние и восходит к 2008 году.

Следующие подробности приведены в блоге Google Security:

При использовании функции библиотеки getaddrinfo () распознаватель на стороне клиента DNS glibc уязвим для переполнения буфера на основе стека. Программное обеспечение, использующее эту функцию, может быть использовано с доменными именами, контролируемыми злоумышленником, DNS-серверами, контролируемыми злоумышленником, или посредством атаки типа «человек посередине».

В сообщении блога также объясняется, как это привлекло внимание Google:

Недавно инженер Google заметил, что их SSH-клиент отказывался от ошибок каждый раз, когда они пытались подключиться к определенному хосту. Этот инженер подал заявку на исследование поведения, и после тщательного расследования мы обнаружили, что проблема заключается в glibc, а не в SSH, как мы ожидали.

Изучив его, после создания рабочего эксплойта команда безопасности Google обнаружила, что специалисты по сопровождению glibc были предупреждены о проблеме еще в июле 2015 года и что Флориан Веймер и Карлос О’Донелл из Red Hat тем временем работали над этим. . Затем две компании совместно работали над разработкой и тестированием патча, который был выпущен во вторник.

Google разработал код эксплойта для этой уязвимости, но не делает это программное обеспечение общедоступным. Тем не менее, он опубликовал «невооруженное» доказательство концепции, которое можно использовать для проверки уязвимости систем.

Хотя замешаны многие версии Linux — Red Hat подтвердила, что затронутые продукты включают в себя несколько версий серверов, рабочих станций и настольных компьютеров RHEL — Android, похоже, остается открытым.

Google также указал на то, что, хотя удаленное выполнение кода возможно, это непросто, поскольку требует обхода средств защиты, присутствующих в системе, таких как ASLR.

Однако тот факт, что сейчас так много известно об ошибке, которая носит псевдоним CVE-2015-7547, на самом деле делает приложения и аппаратные устройства более уязвимыми до тех пор, пока не будут внедрены исправления.


Добавить комментарий