Google zverejnil podrobnosti o chybe s otvoreným zdrojovým kódom v knižnici GNU C, ktorá ovplyvňuje širokú škálu distribúcií Linuxu, softvéru a zariadení.
Chyba bola predstavená vo verzii 2.9 knižnice s otvoreným zdrojovým kódom glibc vydanej v máji 2008.
Google a Red Hat sa spojili, aby dodali opravu závažnej chyby v knižnici GNU C alebo glibc, ktorá je široko používaná v linuxových aplikáciách, distribúciách a zariadeniach.
Každý, kto používa linuxový server, si pravdepodobne bude musieť nainštalovať spoločne vyvinutý patch, ktorý opravuje kritickú chybu vo funkcii getaddrinfo v glibc.
Zraniteľnosť bola až donedávna nepovšimnutá, ale v skutočnosti bola predstavená vo verzii 2.9 knižnice s otvoreným zdrojovým kódom, ktorá bola vydaná v máji 2008.
Google podrobne popísal chybu je chyba pretečenia zásobníka vo funkcii, ktorú možno na diaľku zneužiť spôsobením stroja spustiť vyhľadávanie DNS a doručiť odpoveď vo forme paketov UDP alebo TCP, ktoré presahujú 2 048 bajtov.
Inžinieri spoločnosti Google uviedli, že akýkoľvek softvér využívajúci getaddrinfo „môže byť zneužitý útočníkmi kontrolovanými doménovými názvami, útočníkmi kontrolovanými servermi DNS alebo prostredníctvom útoku typu man-in-the-middle“.
Rovnako ako predchádzajúce chyby s otvoreným zdrojom, aj táto ovplyvňuje širokú škálu distribúcií Linuxu, softvéru a zariadení.
„V podstate každý systém Linux používa glibc a getaddrinfo sa zvyčajne používa na riešenie IP adries. To znamená, že servery Linux, ako aj pracovné stanice, sú zraniteľné, pokiaľ na nich nie je spustená stará verzia glibc (pred 2.9),“ poznamenal Johannes Ullrich, CTO Internet Storm Center SANS.
Ullrich sa pôvodne domnieval, že táto chyba sa pravdepodobne týka aj zariadení s Androidom. Výskumník v oblasti bezpečnosti Kenn White však odvtedy poukázal na to, že spoločnosť Google sa rozhodla pre alternatívny softvér Bionic C pre Android od glibc.
biely tiež povedal existuje možnosť, že CentOS, Oracle a Amazon Linux môžu byť zraniteľné voči zraniteľnosti glibc.
Hoci inžinieri Google objavili chybu nezávisle, keď ju začali vyhodnocovať, objavili problém bol predtým hlásený správcom glibc a že inžinieri v Red Hat tiež skúmali problém.
Obe spoločnosti spolupracovali na vývoji a testovaní opravy, ktorá bola vydaná v utorok.
Red Hat potvrdil že ovplyvnené produkty zahŕňajú viaceré verzie RHEL serverov, pracovných staníc a desktopových produktov.
Spoločnosť Google vyvinula kód zneužitia chyby, ale tento softvér nesprístupňuje verejnosti. Zverejnila však dôkaz koncepcie, ktorý možno použiť na testovanie zraniteľnosti systémov.
„Keď kód nečakane spadne, môže to byť znakom niečoho oveľa významnejšieho, ako sa zdá; ignorujte zlyhania na vlastné nebezpečenstvo,“ uviedli inžinieri Google.
Poznamenali tiež, že aj keď je spustenie kódu na diaľku možné, stále by si to vyžadovalo obídenie obmedzení zneužitia, ako je randomizácia rozloženia adresného priestoru.
Viac o bezpečnosti
- Ransomware: Koľko by ste zaplatili, aby ste dostali svoje súbory späť?
- Online bezpečnosť? Nechajte ma vygoogliť, hovoria zmätení šéfovia
- Zadné vrátka povinného šifrovania? To je zlý nápad, hovorí agentúra pre kybernetickú bezpečnosť
- Prichádza dôležitá oprava OpenSSL
- Nová chyba zero-day zasiahla milióny serverov Linux a týka sa aj väčšiny zariadení so systémom Android
- Spoločnosť Adobe stiahla aktualizáciu Creative Cloud, ktorá odstránila údaje Apple Mac