思科的安全情报研究团队Talos Group指出,Qualys日前所揭露的Ghost漏洞允许骇客自远端执行任意程式,虽然是个重大漏洞,但是其实并没那麽可怕
CTI论坛(ctiforum)2月9日消息(记者 李文杰):网络安全暨漏洞管理业者Qualys于1月27日揭露Linux漏洞「Ghost」(CVE-2015-0235),受影响的Linux版本有Debian 7、Red Hat Enterprise Linux 6/7(RHEL 6/7)、CentOS 6/7及Ubuntu 12.04等。不过这些业者都已经陆续同步更新受影响的作业系统。
Ghost漏洞属于缓冲区溢位(Buffer Overflow)的攻击手法,发生在Linux核心glibc程式库中gethostbyname()与gethostbyname2()的函式,只要执行这2个函式都有可能会触发Ghost漏洞,且允许远端骇客可以远程呼叫这些函数,取得该应用程式的使用者身份,并可以执行任意程式码。
而gethostbyname()函式用途为DNS解析,当系统有此弱点时,骇客就可以在程式执行名称解析的时候,提供不正确的参数,以此来触发缓冲区溢位的漏洞。
台湾企业尚无灾情,红帽已通知主要客户
受Ghost漏洞影响的厂商红帽(Red Hat),在1月27日和28日陆续释出修补受Ghost漏洞影响的RHEL作业系统,以供用户尽快修补。
此外,红帽也已通过邮件方式来通知台湾用户,台湾用户也可以通过红帽勘误通知(Red Hat Errata Notification)或红帽通知和公告网站获取资安讯息通知。
台湾红帽表示,目前台湾尚未接获受Ghost漏洞影响的企业,但还是呼吁用户尽速修补套件。
红帽进一步解释,为了杜绝漏洞,需要重新启动有使用glibc的服务,而有监于glibc的应用范围广泛,建议使用者重启系统,不过,使用者更新套件时不需要重新开机。
Ghost漏洞真的很可怕?
思科的安全情报研究团队Talos Group指出,Qualys日前所揭露的Ghost漏洞允许骇客自远端执行任意程式,虽然是个重大漏洞,但是其实并没那麽可怕。
该漏洞出现在GNU C函式库(glibc)中将主机名称转为IP位址的GetHOST功能,因此被简称为Ghost。
Qualys在__nss_hostname_digits_dots()发现一个缓冲区溢位漏洞,不论是执行gethostbyname()或gethostbyname2()功能都有可能触发该漏洞,允许远端骇客执行任意程式并掌控系统。
不过,Talos Group认为此一重大漏洞并没有那麽可怕。其中一个原因是这两项功能因未支持IPv6,所以约在15年前就日渐被淘汰,支持IPv6且用来替代上述功能的getaddrinfo()并不存在该漏洞。
其次是必须要接受以主机的名称输入,并且仍然使用gethostbyname()或gethostbyname2()功能的应用程式才可能被攻击。
再者,相关功能限制了可使用的主机名称格式,除了要求主机名称只能由数字与「。(dot)」组成之外,也要求主机名称的第一个字元必须是「。」,但最后一个字元不能是「。」,很少有应用程式接受这种资料格式的输入。
Talos Group表示,即使这是一个允许远端程式攻击的漏洞,但其限制降低了它的威胁性,骇客必须使用gethostbyname()或gethostbyname2()的其中一项功能,还得符合奇怪的规则,在实际场景最有可能发生的结果是造成记忆体区段错误而非远端程式攻击。
目前Talos Group并未发现任何针对该漏洞的攻击报告,但预期在业者把相关漏洞的概念性验证程式加至Metasploit渗透工具包之后情况可能就会有所改变。
