CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

28/01/2015

GHOST: Nueva vulnerabilidad detectada en la librería glibc

Esta vulnerabilidad afecta a glibc, la librería estándar para las aplicaciones desarrolladas en C, y permite la ejecución remota de código, llegando potencialmente a permitir tomar el control del equipo afectado.

Riesgo: Crítico

La empresa Qualys ha publicado una alerta (e incluso un podcast, en inglés) relacionada con una vulnerabilidad encontrada en la librería glibc, que es la librería estándar que utilizan las aplicaciones programadas en lenguaje C.

Esta vulnerabilidad aprovecha un fallo en las funciones de la familia GetHOST (de ahí el nombre) que permite, mediante un desbordamiento de buffer en uno de sus parámetros, ejecutar código arbitrario y potencialmente tomar el control del equipo víctima.

Estas funciones son las utilizadas en redes IPv4 para obtener traducciones entre direcciones IP y nombres de dominio, por lo que su uso es bastante habitual en aplicaciones y servicios orientados a la red.

En el análisis completo, que también han publicado en listas de correo, se ofrece una prueba de concepto funcional para el servidor de correo exim. Además, desde Qualys informan en una respuesta a una de estas listas de un grupo de servicios para los que no han conseguido explotar la vulnerabilidad a pesar de utilizar las funciones de la familia gethost. En cualquier caso, hay que tomar esta lista con cuidado, ya que puede haber errores.

Lo curioso de esta vulnerabilidad reside en su historia, que pasamos a detallar. La primera versión afectada por esta vulnerabilidad fue glibc-2.2, publicada en noviembre del año 2000, pero la vulnerabilidad pasó inadvertida hasta que en mayo de 2013 (entre la publicación de las versiones 2.17 y 2.18 de glibc) fue parcheada. Desgraciadamente, no se reconoció como un problema de seguridad en ese momento y la mayoría de distribuciones estables y de soporte extendido no consideraron oportuno parchear la vulnerabilidad en sus distribuciones hasta ahora a raíz de las investigaciones realizadas por Qualys.

Sistemas Afectados:

Librería glibc versiones anteriores a glibc-2.18 y, por extensión, todas las aplicaciones que hagan uso de ella.

Referencias:

CVE-2015-0235

Solución:

Qualys se ha coordinado con las principales distribuciones de Linux para publicar la vulnerabilidad después de que estos tuvieran parches preparados, por lo que podemos encontrar ya parches para:

Para actualizar tan solo es necesario ejecutar el gestor de actualizaciones incluido en el sistema, y seleccionar la actualización del paquete glibc o eglibc, según corresponda.

Notas:

Qualys Blog: The Laws of Vulnerabilities: The GHOST Vulnerability
Qualys Security Advisory CVE-2015-0235
Debian Security Tracker - CVE-2015-0235

RedHat Enterprise Linux - CVE-2015-0235

Ubuntu USN-2485-1

Fuente: Qualys

CSIRT-CV