A Qualys az elméletét bizonyítandó egy teljesértékű, remote PoC exploitot készített az Exim mailszerver ellen. Az exploit képes áthágni az nevezett operációs rendszerek biztonsági védelmi mechanizmusait (ASLR, PIE és NX) mind 32 bites, mind 64 bites környezetben. A cég az exploitot hamarosan elérhetővé teszi Metasploit modulként.
A bejelentés elolvasható itt. Egy későbbi levélben a Qualys azt közölte, hogy legjobb tudomásuk szerint az alábbi szoftverek - annak ellenére, hogy így vagy úgy meghívják a gethostbyname-t - nem érintettek, vagyis rajtuk keresztül a BOF nem triggerelhető:
- apache
- cups
- dovecot
- gnupg
- isc-dhcp
- lighttpd
- mariadb/mysql
- nfs-utils
- nginx
- nodejs
- openldap
- openssh
- postfix
- proftpd
- pure-ftpd
- rsyslog
- samba
- sendmail
- sysklogd
- syslog-ng
- tcp_wrappers
- vsftpd
- xinetd
Részletek itt.
- A hozzászóláshoz be kell jelentkezni
- 5136 megtekintés
Hozzászólások
ne aggódjatok hupuk, a hup.hu ezzel nem sebezhető
>FreeBSD
- A hozzászóláshoz be kell jelentkezni
Van aki vitatja a bug súlyosságának fokát:
"The effective impact of this vulnerability is not "highly critical", though you'd have to really dig into the details of the actual advisory and not base your opinion off what Qualys' PR team have been building up for over 4 months."
[..]
"But readers here and elsewhere will see "highly critical", overreact as expected from Qualys' PR team, and learn nothing from the entire event. Carry on!" - spender
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
>[..]
^van aki (micsi) el akarja titkolni a valóban katasztrofális hibákat:
[..] = The vulnerability was also fixed a year and a half ago but didn't make its way to the majority of distros, probably due to "Linus-style" disclosure
- A hozzászóláshoz be kell jelentkezni
Ritka esemény, hogy nem itt a hup-on olvastam róla először :D
A hasonló kaliberű bugokat mind itt láttam elsőként (lemaradásban voltam)
- A hozzászóláshoz be kell jelentkezni
A csunya az, hogy a Red Hat kiadott egy scriptet GHOST-test.sh neven, amivel (elvileg) meg tudod nezni, hogy erintett-e a rendszered.
Ez a script megnezi a glibc verziojat a rendszeren viszont a revisionben (PL RHEL6-ben ez igy nez ki: 1.149.el6_6.5 ) ignoralja az utolso reszt igy neha azt mondja, hogy nem vulnerable a rendszer mikozben az. :)
Nyitottam egy case-t a Red Hat-nal (nameg megirtam a forumban, hogy ne higgyenek a scriptnek :) ) es eppen javitas alatt van a script.
Igazabol minden RH rendszer erintett ami nem tartalmazza a frissiteseket tegnaprol.
Legjobb modja a tesztnek:
https://gist.github.com/discordianfish/23b2cd8580c19bade39d
# gcc -o /tmp/ghost /tmp/GHOST.c
# /tmp/ghost
vulnerable
- A hozzászóláshoz be kell jelentkezni
Azt olvasom, hogy 2.18 (2013-08-12) alatt érintett a glibc. Nekem 2.19-el az általad írt módon not vulnerable a válasz.
- A hozzászóláshoz be kell jelentkezni
bookmark - RHEL6 esetén a glibc-2.12-1.149.el6_6.5.x86_64 felrakása után nyugi van :)
- A hozzászóláshoz be kell jelentkezni
igazabol a restart utan van nyugi ;)
- A hozzászóláshoz be kell jelentkezni
No igen - elsősorban a hálózatról elérhető motyókat illik újrarúgni, és néha még ez sem megy olyan egyszerűen...
- A hozzászóláshoz be kell jelentkezni
ja...
Nekem a needs-restarting command 147 processt mutatott az update utan :)
Edit: Persze ezek azok a processek, amik magat a lib-et hasznaljak, de nyilvan nem mindegyik hasznlja a problemas function-t.
- A hozzászóláshoz be kell jelentkezni
Érdekes, hogy ha fut pl nscd a gépen, akkor nem futnak segfaultra a Qualys által kiadott példák.
- A hozzászóláshoz be kell jelentkezni
én ezt találtam és jónak bizonyult:
http://www.cyberciti.biz/faq/cve-2015-0235-patch-ghost-on-debian-ubuntu…
- A hozzászóláshoz be kell jelentkezni