Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 30/1/2015
En sårbarhed i Linux kan ramme en række programmer, der kalder GNU C Library (glibc). Et sikkerhedsfirma har demonstreret angreb, der giver fuld kontrol over operativsystemet via forumprogrammet PhpBB.Sårbarheden ligger i funktionen gethostbyname. Den blev for en halv snes år siden afløst af funktionen getaddrinfo. Derfor er mange nyere programmer ikke sårbare, da de ikke kalder funktionen.
Men sikkerhedsforskere fra firmaet Positive Technologies har fundet et angrebsprogram, der demonstrerer, at sårbarheden kan udnyttes i det udbredte program PhpBB. Ifølge forskerne kan en angriber på den måde få fuld kontrol over operativsystemet på den server, som PhpBB kører på.
Sikkerhedsforsker Robert Graham skriver om sårbarheden, at den er vanskelig at udnytte i praksis. Og mange angreb vil kun virke lokalt, ikke over nettet. Derfor mener han, at sårbarheden ikke udgør en stor risiko medmindre der dukker angrebsprogrammer op, som gør det let at udnytte den i praksis.
Sårbarheden har fået navnet Ghost, som er en sammentrækning af gethostbyname. Fejlen er rettet i flere Linux-distributioner.
Anbefaling
Opdater til en rettet version af glibc. Applikationer der er statisk linkede, skal rettes separat.
Links
- Qualys Security Advisory CVE-2015-0235: GHOST: glibc gethostbyname buffer overflow
- GHOST(dot)WEB: The First Blood, blogindlæg fra Positive Technologies
- Some notes on GHOST, blogindlæg af Robert Graham
- A critical bug Ghost allows for code execution, affecting Linux systems, blogindlæg fra Alert Logic
- Ghost in the Machine: Linux Zero-Day Vulnerability Opens Door for Attack, blogindlæg fra IBM