GHOST glibc漏洞影响WordPress和PHP应用程序
相关标签: # 服务器# 研究# 软件# 黑客# 缺陷
这是一个严重的弱点(CVE-2015-0235), announced this week by the researchers of California-based security firm Qualys, that involves a heap-based buffer overflow in the glibc function name - "GetHOSTbyname()." Researchers said the vulnerability has been present in the glibc code since 2000.
虽然主要的Linux发行商红帽,德比安和Ubuntu,已经针对该漏洞更新了他们的软件,GHOST可能被黑客用来攻击目前只有少数应用程序,以远程运行可执行代码,并以静默方式获得对Linux服务器的控制。
正如我们在前一篇文章中所解释的,基于堆的缓冲区溢出是在__nss_主机名_数字_点()函数,该函数由gethostbyname()和gethostbyname2()glibc函数调用。
因为,包括WordPress在内的PHP应用程序也使用gethostbyname()函数包装器,即使在许多Linux发行版发布了修复程序之后,出现严重漏洞的可能性也会增加。
幽灵——WORDPRESS的大问题
Sucuri研究员马克·亚历山大·蒙帕斯(Marc Alexandre Montpas)表示,幽灵漏洞可能是WordPress CMS使用的一个大问题wp_http_validate_url()函数来验证每个pingback帖子URL。
"....它通过使用gethostbyname()来实现,“蒙帕斯在周三发布的一份公告中写道。”因此,攻击者可以利用此向量插入恶意URL,从而触发服务器端的缓冲区溢出漏洞,从而可能获得服务器上的权限。"
该漏洞影响glibc-2.17及更低版本的所有glibc版本。然而,它在2013年5月在glibc-2.18中进行了修补,但没有被标记为安全漏洞,因此该修复程序没有进入许多常见的Linux发行版,如RedHat和Ubuntu。
如何检查您的系统是否存在幽灵缺陷
“这是一个非常严重的漏洞,应该这样对待。”蒙帕斯说。“如果您有一台运行Linux的专用服务器(或VPS),您必须确保立即对其进行更新。”
Sucuri还提供了以下测试PHP代码,管理员可以在其服务器终端上运行这些代码。如果代码返回分段错误,则Linux服务器容易受到GHOST漏洞的攻击。
php-r'$e=“0″;”for($i=0;$i<;2500;$i++){$e=“0$e”;}gethostbyname($e);'分段故障
如何保护
到目前为止,Debian 7、Red Hat Enterprise Linux 6和7、CentOS 6和7以及Ubuntu 12.04都发布了软件更新。因此,建议上述Linux发行版的用户尽快修补系统,然后重新启动系统。
- 禁用XML-RPC
- 禁用Pingback请求
添加过滤器('xmlrpc_methods',函数($methods'){unset($methods['pingback.ping]);返回$methods;});
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
