Sårbarhet i Glibc-biblioteket for Linux-systemer

Publisert: 17.02.2016 | Sist endret: 11.01.2017

Dette er en ny sårbarhet mot vanlig applikasjon/tjeneste. Sikkerhetsoppdatering er ikke tilgjengelig for de mest brukte systemene.

Det er publisert [1][2] informasjon om en sårbarhet i Glibc-biblioteket som brukes av et stort antall Linux-applikasjoner. Sårbarheten ble introdusert i Glibc 2.9 som kom i 2008, og påvirker derfor et stort antall Linux-distribusjoner.

Google mener at ekstern kjøring av kode er mulig, men ikke enkelt. Det krever at man omgår sikkerhetsreduksjonene som finnes i systemet, for eksempel ASLR, se [2].

NorCERT anbefaler at man oppgraderer til nyeste oppdaterte versjon der den finnes. Se «Påvirkede versjoner» for lenker til informasjonssider for de største Linux-distribusjonene. Dersom systemet er sårbart, men sikkerhetsoppdatering ikke er tilgjengelig, lister sårbarhetsvarselet [1] opp mulige endringer for å beskytte et system.

[OPPDATERT INFO] Det er nå kommet oppgraderinger til de fleste Linux-systemer som brukes i driftsmiljøer. Oppdaterte pakker burde være tilgjengelig i systemets pakkebrønner.

Vær klar over at det for de fleste systemer kreves en full omstart av maskinen etter oppdatering.

Detaljer om sårbarheten

Sårbarheten består av en buffer-overflow-feil som oppstår når et program bruker glibc til å gjøre DNS-oppslag. Dersom man ber glibc slå opp både IPv4 (A) og IPv6 (AAAA)-adresser, kan en angriper returnere unormalt store pakker og trigge sårbarheten.

Vær klar over at sårbarheten kan utnyttes selv om IPv6 er helt deaktivert for systemet.

Man bør anta at både klient- og serverapplikasjoner er sårbare. E-postservere kan for eksempel lures til å gjøre vilkårlige DNS-oppslag som del av spam-scoring.

Det er publisert et Proof Of Concept[3] som kan benyttes til å kontrollere om et system er sårbart.

Aktiv utnyttelse

NSM NorCERT har ikke informasjon om aktiv utnyttelse av sårbarheten, men ettersom det er publisert et Proof Of Concept[3] vil det være enklere for en eventuell angriper å utnytte sårbarheten.  

Påvirkede versjoner

Vennligst se de distro-spesifikke sidene for oppdatert status på sårbarhet og tilgjengelighet av sikkerhetsoppdateringer.

 

  • Debian [4]
    • Jessie, Wheezy og Squeeze er sårbare.
  • Ubuntu [5]
    • 12.04 LTS, 14.04 LTS, 15.04 og 15.10 er sårbare.
  • Red Hat [6]
    • Enterprise Linux 6 og 7 er sårbare.
    • Enterprise Linux 5 er ikke sårbar.
  • openSUSE [7]
    • SUSE Linux Enterprise Desktop/Server 11 og 12 er sårbar.

CVE referanse: CVE-2015-7547

Kilder

  1. https://sourceware.org/ml/libc-alpha/2016-02/msg00416.html
  2. https://googleonlinesecurity.blogspot.no/2016/02/cve-2015-7547-glibc-getaddrinfo-stack.html
  3. https://github.com/fjserna/CVE-2015-7547 - POC
  4. https://security-tracker.debian.org/tracker/CVE-2015-7547
  5. https://people.canonical.com/~ubuntu-security/cve/2015/CVE-2015-7547.html
  6. https://access.redhat.com/security/cve/CVE-2015-7547
  7. https://www.suse.com/security/cve/CVE-2015-7547.html