严重的glibc漏洞使Linux机器和应用面临风险（立即修补）

elegant lv.1

发布时间：2022-05-11 08:30:09 557

相关标签： # linux# 漏洞# 监控# 软件# 信息

GNU C库（glibc），这是大多数Linux发行版的关键组件，几乎所有的Linux机器、数千个应用程序和电子设备都容易受到黑客的攻击，黑客可以完全控制它们。

只需点击一个链接或连接到一个服务器，就可以导致远程代码执行（RCE），允许黑客窃取凭证、监视用户、夺取计算机控制权等等。

该漏洞类似于去年的GHOST漏洞（CVE-2015-0235），该漏洞使无数机器容易受到攻击远程代码执行（RCE）攻击，代表着一个重大的互联网威胁。

GNU C库（glibc）是一个开放源代码集合，为数千个独立应用程序和大多数Linux发行版提供了支持，包括那些分发到路由器和其他类型硬件的应用程序。

最近的缺陷，索引为CVE-2015-7547，是一个基于堆栈的缓冲区溢出glibc的DNS客户端解析器中存在漏洞，该解析器用于翻译人类可读的域名，如谷歌。com，转换成网络IP地址。

缓冲区溢出漏洞是在getaddrinfo（）库函数它执行域名查找，允许黑客远程执行恶意代码。

缺陷是如何工作的？

当受影响的设备或应用程序向恶意DNS服务器发出查询，向查找请求返回太多信息，并用代码淹没程序内存时，可以利用该漏洞。

然后，该代码会危害易受攻击的应用程序或设备，并试图接管对整个系统的控制。

可以将域名注入服务器日志文件，解析后将触发远程代码执行。连接到服务器的SSH（Secure Shell）客户端也可能遭到破坏。

然而，攻击者需要绕过多个操作系统安全机制– 比如ASLR和不可执行堆栈保护– 为了实现成功的RCE攻击。

或者，网络上的攻击者可能会执行以下操作：中间人（MitM）攻击和篡改DNS回复，以监控和操纵（注入恶意代码有效载荷）易受攻击设备和互联网之间的数据流。

受影响的软件和设备

glibc 2.9之后的所有版本都易受攻击。因此，任何连接到网络或互联网上的东西并使用glibc的软件或应用程序都有风险。

众所周知，广泛使用的SSH、sudo和curl实用程序都会受到缓冲区溢出漏洞的影响，安全研究人员警告说，其他受影响的应用程序或代码的列表几乎太多太多，无法完全列举。

该漏洞可能会扩展到几乎所有主要软件，包括：

几乎所有Linux发行版。
Python、PHP和Ruby on Rails等编程语言。
还有许多人使用Linux代码查找Internet域的数字IP地址。
据报道，大多数比特币软件也存在漏洞。

谁不受影响

好消息是，谷歌安卓移动操作系统的用户不易受到该漏洞的攻击。据谷歌的一名代表说，由于该公司使用了一种被称为仿生的glibc替代品，因此不易受影响。

此外，许多嵌入式Linux设备，包括家庭路由器和各种小工具，都不受该漏洞的影响，因为这些设备使用uclibc因为它比笨重的glibc更轻。

该漏洞于2008年5月首次引入，但于2015年7月向glibc维护人员报告。

这一漏洞是由美国大学的研究人员独立发现的谷歌和红帽世卫组织发现，该漏洞可能没有受到公开攻击。

谷歌的安全团队在周一发布的一篇博文中称，该漏洞是在谷歌的一款SSH应用程序每次试图联系某个特定的互联网地址时都遇到称为分段错误的严重错误时发现的。

glibc哪里出了问题

谷歌研究人员发现，该错误是由于glibc库中的缓冲区溢出漏洞导致恶意代码执行攻击成为可能。研究人员随后通知了glibc维护人员。

谷歌工程师称，问题出在这里：

“glibc通过alloca（）在堆栈中为_nss_DNS_gethostbyname4_r（）上的DNS应答保留2048字节，用于承载对DNS查询的响应。稍后，在send_dg（）和send_vc（）上，如果响应大于2048字节，则从堆中分配一个新缓冲区和所有信息（缓冲区指针、新缓冲区大小和响应大小）更新了"。

“在某些情况下，堆栈缓冲区和新的堆分配之间会发生不匹配。最终的效果是，堆栈缓冲区将用于存储DNS响应，即使响应大于堆栈缓冲区，并且已分配了一个堆缓冲区。这种行为会导致堆栈缓冲区溢出。”

发布概念验证漏洞

周二，谷歌bod Fermin J.Serna发布了一个概念验证（POC）攻击代码。

使用此POC代码，您可以验证您是否受到此关键问题的影响，并验证您可能希望采取的任何缓解措施。

补丁glibc漏洞

谷歌研究人员与Red Hat的安全研究人员合作，发布了一个补丁来修复编程错误。

然而，现在由Linux操作系统背后的社区和制造商来尽快向受影响的软件和设备推出补丁。

对于运行服务器的人来说，解决问题只需下载和安装补丁更新。

但对于其他用户来说，修补问题可能会有帮助别那么容易.使用易受攻击的glibc版本编译的应用程序应重新编译为更新版本–；这一过程需要时间，因为受影响应用的用户必须等待开发者提供更新。

同时，如果无法立即修补glibc实例，可以通过将所有TCP DNS回复限制为1024字节，并丢弃大于512字节的UDP DNS数据包来帮助防止漏洞被利用。

有关glibc缺陷的更多深入信息，请阅读Red Hat博客文章。

特别声明：以上内容（图片及文字）均为互联网收集或者用户上传发布，本站仅提供信息存储服务！如有侵权或有涉及法律问题请联系我们。