Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 22/2/2016
Udviklerne af GNU C Library har lukket et alvorligt sikkerhedshul i funktionen Getaddrinfo. Angribere kan udnytte hullet via DNS (Domain Name System).Der er tale om et bufferoverløb på stakken. Getaddrinfo har afsat 2.048 bytes til at modtage et svar på en DNS-forespørgsel, men det er muligt at placere 65.535 bytes i svaret. Overløbsdataene kan potentielt udnyttes til at afvikle skadelig programkode.
Fejlen ligger i programmeringsbiblioteket GNU C Library (Glibc). Dermed er alle applikationer, der kalder funktioner i Glibc, potentielt sårbare. Det gælder en række varianter af Linux.
Android bruger ikke Glibc og er derfor ikke ramt.
Red Hat og andre Linux-producenter har udsendt opdateringer, der lukker hullet.
Sikkerhedsforsker Dan Kaminsky sammenligner sårbarheden med Ghost, der ligeledes findes i DNS-implementeringen i Glibc. Den blev opdaget sidste år. Han mener, at risikoen for, at den nye sårbarhed kan udnyttes i praksis, er større.
Anbefaling
Begræns DNS-trafik til godkendte DNS-servere. Opdater sårbare systemer.
Links
- CVE-2015-7547: glibc getaddrinfo stack-based buffer overflow, blogindlæg fra Google Project Zero
- [PATCH] CVE-2015-7547 --- glibc getaddrinfo() stack-based buffer overflow
- I Might Be Afraid Of This Ghost, blogindlæg af Dan Kaminsky
- glibc buffer overflow in DNS resolution (CVE-2015-754), blogindlæg af David Longenecker
- The Linux GNU C Library Vulnerability: What It Is, How To Fix It, blogindlæg fra Trend Micro