Mokymai

Pavojinga Linux OS spraga, susijusi su DNS paslauga

2016-02-18

Lietuvos Respublikos ryšių reguliavimo tarnybos nacionalinis elektroninių ryšių tinklų ir informacijos saugumo incidentų tyrimo padalinys (CERT-LT) įspėja apie pavojingą operacinės sistemos „Linux“ spragą.

Įmonių „Google“ ir „Red Hat“ saugumo specialistai aptiko pavojingą spragą sisteminiame modulyje „glibc“, kuri kelia pavojų daugeliui tinklinių programų. Spraga gavo žymą СVE-2015-7547. Jos demonstravimui sukurta atitinkama programa (angl. exploit).


Piktavaliai gali aukos įrenginyje įvykdyti kenkimo kodą, kai tenkinamos visos šios sąlygos:

1) aukos DNS klientas naudoja pažeidžiamą „getaddrinfo()“ funkciją;

2) piktavaliai sugeba aukai suformuoti specialų DNS atsakymą, kuris perpildytų „getaddrinfo()“ steką;

3) pavyksta apeiti „ASLR“ (angl. address space layout randomization), saugančio operacinę sistemą nuo programinio buferio perpildymo (angl. buffer overflow).

Atakos metu aukai ateina DNS stoties atsakymas, didesnis nei 2 048 baitai. Tai, kas viršija 2 048 baitus, bus traktuojama kaip kodas ir bus vykdoma.

Problema egzistavo nuo 2008 m. gegužės mėn. (nuo „glibc“ 2.9 versijos). „Google“ inžinieriai atkreipė dėmesį į tai, kad „SSH“ klientas, kreipdamasis į vieną tinklo mazgą, kartais „nulūždavo“. Tyrimo metu inžinieriai išsiaiškino, kad ši problema dar 2015 m. liepos 13 d. buvo įrašyta į „glibc“ klaidų kontrolės sistemą.

 

CERT-LT rekomenduoja įdiegti pataisas:

1) Naudojantiems „Red Hat Enterprise Linux“ 6-ą ir 7-ą versijas:
https://rhn.redhat.com/errata/RHSA-2016-0176.html.

2) Naudojantiems „Debian“:
https://lists.debian.org/debian-security-announce/2016/msg00050.html

ir https://lists.debian.org/debian-security-announce/2016/msg00051.html.

Naudojantys kitas „Linux“ atmainas artimiausiu metu irgi turėtų sulaukti pataisos. Laikinas sprendimas - ugniasienėje apriboti DNS atsakymų dydžius: 512 baitų UDP protokolui ir 1024 baitų TCP protokolui.

 

Daugiau informacijos:

1) https://googleonlinesecurity.blogspot.lt/2016/02/cve-2015-7547-glibc-getaddrinfo-stack.html

2)https://isc.sans.edu/diary/CVE-2015-7547%3A+Critical+Vulnerability+in+glibc+getaddrinfo/20737

Visi pranešimai