Pavojinga Linux OS spraga, susijusi su DNS paslauga
Lietuvos Respublikos ryšių reguliavimo tarnybos nacionalinis elektroninių ryšių tinklų ir informacijos saugumo incidentų tyrimo padalinys (CERT-LT) įspėja apie pavojingą operacinės sistemos „Linux“ spragą.
Įmonių „Google“ ir „Red Hat“ saugumo specialistai aptiko pavojingą spragą sisteminiame modulyje „glibc“, kuri kelia pavojų daugeliui tinklinių programų. Spraga gavo žymą СVE-2015-7547. Jos demonstravimui sukurta atitinkama programa (angl. exploit).
Piktavaliai gali aukos įrenginyje įvykdyti kenkimo kodą, kai tenkinamos visos šios sąlygos:
1) aukos DNS klientas naudoja pažeidžiamą „getaddrinfo()“ funkciją;
2) piktavaliai sugeba aukai suformuoti specialų DNS atsakymą, kuris perpildytų „getaddrinfo()“ steką;
3) pavyksta apeiti „ASLR“ (angl. address space layout randomization), saugančio operacinę sistemą nuo programinio buferio perpildymo (angl. buffer overflow).
Atakos metu aukai ateina DNS stoties atsakymas, didesnis nei 2 048 baitai. Tai, kas viršija 2 048 baitus, bus traktuojama kaip kodas ir bus vykdoma.
Problema egzistavo nuo 2008 m. gegužės mėn. (nuo „glibc“ 2.9 versijos). „Google“ inžinieriai atkreipė dėmesį į tai, kad „SSH“ klientas, kreipdamasis į vieną tinklo mazgą, kartais „nulūždavo“. Tyrimo metu inžinieriai išsiaiškino, kad ši problema dar 2015 m. liepos 13 d. buvo įrašyta į „glibc“ klaidų kontrolės sistemą.
CERT-LT rekomenduoja įdiegti pataisas:
1) Naudojantiems „Red Hat Enterprise Linux“ 6-ą ir 7-ą versijas:
https://rhn.redhat.com/errata/RHSA-2016-0176.html.
2) Naudojantiems „Debian“:
https://lists.debian.org/debian-security-announce/2016/msg00050.html
ir https://lists.debian.org/debian-security-announce/2016/msg00051.html.
Naudojantys kitas „Linux“ atmainas artimiausiu metu irgi turėtų sulaukti pataisos. Laikinas sprendimas - ugniasienėje apriboti DNS atsakymų dydžius: 512 baitų UDP protokolui ir 1024 baitų TCP protokolui.
Daugiau informacijos:
1) https://googleonlinesecurity.blogspot.lt/2016/02/cve-2015-7547-glibc-getaddrinfo-stack.html
2)https://isc.sans.edu/diary/CVE-2015-7547%3A+Critical+Vulnerability+in+glibc+getaddrinfo/20737
Visi pranešimai