Требует ли Ghost Vulnerability доступ (как при входе в систему) к рассматриваемой операционной системе? Может кто-нибудь уточнить «удаленный злоумышленник, который может сделать вызов приложения»? Кажется, я только нахожу тесты для запуска в локальной системе напрямую, но не с удаленного хоста.
Всю информацию, которую я до сих пор собирал об Уязвимости Призрака из нескольких источников (ссылки на эти источники), я разместил ниже в ответе на случай, если кому-то еще будет любопытно.
Изменить, я нашел свой ответ :
Во время аудита кода исследователи Qualys обнаружили переполнение буфера в функции __nss_hostname_digits_dots () в glibc. Эта ошибка может быть вызвана как локально, так и удаленно через все функции gethostbyname * (). Приложения имеют доступ к преобразователю DNS в основном через набор функций gethostbyname * (). Эти функции преобразуют имя хоста в IP-адрес.
источник
Ответы:
Ответ на мой вопрос от Qualys :
Мое обобщенное исследование ниже для всех, кто ищет:
отказ
Несмотря на то, что многие другие темы / блоги могут рассказать вам, я советую не обновлять сразу все ваши ОС без всестороннего тестирования этих
glibc
обновлений. Сообщалось, что обновления glibc вызвали массовые ошибки в приложениях, заставив людей откатить свои обновления glibc до их предыдущей версии.Нельзя просто массово обновить производственную среду без тестирования.
Исходная информация
GHOST - это ошибка 'переполнения буфера', затрагивающая вызовы функций gethostbyname () и gethostbyname2 () в библиотеке glibc. Эта уязвимость позволяет удаленному злоумышленнику, который может вызвать приложение к любой из этих функций, выполнить произвольный код с разрешениями пользователя, запускающего приложение.
Влияние
Вызовы функций gethostbyname () используются для разрешения DNS, что является очень распространенным явлением. Чтобы воспользоваться этой уязвимостью, злоумышленник должен вызвать переполнение буфера, предоставив недопустимый аргумент имени хоста приложению, которое выполняет разрешение DNS.
Текущий список затронутых дистрибутивов Linux
RHEL (Red Hat Enterprise Linux) версии 5.x, 6.x и 7.x
CentOS Linux версии 5.x, 6.x и 7.x
Ubuntu Linux версия 10.04, 12.04 LTS
Debian Linux версии 6.x, 7.x
Linux Mint версия 13.0
Fedora Linux версия 19 (или более новая версия должна быть обновлена)
SUSE Linux Enterprise
openSUSE (версии старше 11 должны обновляться)
Какие пакеты / приложения все еще используют удаленный glibc?
( кредиты Жилю )
Для CentOS / RHEL / Fedora / Scientific Linux:
Для Ubuntu / Debian Linux:
Какую версию библиотеки C (glibc) использует моя система Linux?
Самый простой способ проверить номер версии - выполнить следующую команду:
Пример выходных данных из RHEL / CentOS Linux v6.6:
Пример вывода из Ubuntu Linux 12.04.5 LTS:
Пример выходных данных Debian Linux v7.8:
GHOST проверка уязвимости
В Чикагском университете размещен следующий скрипт для легкой загрузки:
Скомпилируйте и запустите его следующим образом:
Red Hat Access Lab: инструмент GHOSTНе используйте этот инструмент, его отчеты неверны, проверка на уязвимость от Qualys является точной.Заделка
CentOS / RHEL / Fedora / Научный Linux
Теперь перезапустите, чтобы вступить в силу:
Кроме того, если ваше зеркало не содержит новейших пакетов, просто загрузите их вручную. * примечание: для более продвинутых пользователей
CentOS 5
CentOS 6
Ubuntu / Debian Linux
Начать сначала:
SUSE Linux Enterprise
Для установки этого обновления безопасности SUSE используйте YaST online_update. Или используйте следующие команды в соответствии с вашей версией:
SUSE Linux Enterprise Software Development Kit 11 SP3
SUSE Linux Enterprise Server 11 SP3 для VMware
SUSE Linux Enterprise Server 11 SP3
SUSE Linux Enterprise Server 11 SP2 LTSS
SUSE Linux Enterprise Server 11 SP1 LTSS
SUSE Linux Enterprise Desktop 11 SP3
Наконец, запустите для всех версий SUSE linux, чтобы обновить вашу систему:
OpenSUSE Linux
Чтобы увидеть список доступных обновлений, включая glibc в OpenSUSE Linux, введите:
Чтобы просто обновить установленные пакеты glibc новыми доступными версиями, запустите:
Почти каждая программа, работающая на вашем компьютере, использует glibc. Вам нужно перезапустить все службы или приложения, которые используют glibc, чтобы патч вступил в силу. Поэтому рекомендуется перезагрузка.
Как перезапустить init без перезагрузки или влияния на систему?
Немедленно смягчить угрозу ограниченным способом, отключив обратные проверки DNS во всех общедоступных службах. Например, вы можете отключить проверку обратного DNS в SSH, установив
UseDNS
дляno
в вашем/etc/ssh/sshd_config
.Источники (и больше информации):
источник