Уязвимость (CVE-2015-0235) в распространенных дистрибутивах Linux может позволить злоумышленнику получить удаленный контроль над системой, таким образом информационная безопасность пользователя окажется под угрозой.
Под ударом оказались пользователи Debian 7 (wheezy), Red Hat Enterprise Linux 6 & 7, CentOS 6 & 7, Ubuntu 12.04. Также уязвимы Zend Framework v2, Wordpress и ряд других популярных приложений.
Ошибка GHOST («призрак») — сокращение, обыгрывающее названия уязвимых функций gethostbyname() и gethostbyname2(). По одной из версий, основанных на анализе метаданных логотипа с красным привидением, специалисты знали об этой уязвимости как минимум со 2 октября 2014 года и соблюдали условия ответственного разглашения, пока разработчики исправляли ошибку.
Уязвимость была обнаружена в библиотеке (glibc — функции gethostbyname() и gethostbyname2()), являющейся неотъемлемой частью Linux — десктоп-компьютеров под управлением этой ОС во всем мире не так много, а вот популяция работающих на ней серверов очень велика, значит под угрозой может оказаться сетевая инфраструктура большинства технологических проектов. В других реализациях libc (такие как uclibc, musl) уязвимость просто отсутствует.
Эксперты, обнаружив уязвимость, смогли подготовить специально сформированное email-сообщение, эксплуатирующее уязвимость в почтовом сервере Exim под управлением уязвимой версии Glibc. Стоит заметить, что Exim весьма широко распространен, а в некоторых операционных системах является почтовым сервером по умолчанию. Но помимо этого потенциально могут быть проэксплуатированы и другие приложения:
- SSH-серверы, использующие DNS-запросы при аутентификации с allow/deny.
- Почтовые серверы с обратными DNS-запросами.
- Многочисленные веб-приложения, которые по входным данным пользователя проводят DNS-запросы.
- СУБД MySQL, которые проводят аутентификацию по доменным именам (MySQL privileges).
Чем же отличается GHOST от Heartbleed и Shellshock?
В отличие от уязвимости в пакете OpenSSL Heartbleed, позволявшей злоумышленникам читать память сервера, ошибка GHOST позволяет захватывать управление над операционной системой с помощью удаленного исполнения кода (RCE). Поскольку опасности подвергаются главным образом серверы, проблема не должна затронуть столь широкий круг пользователей, как в случае Heartbleed, однако под угрозой оказывается инфраструктура большинства интернет-компаний.
В сравнении с другой нашумевшей уязвимостью Shellshock, эксплуатация GHOST сложнее, поскольку позволяет выполнять бинарные инструкции, а не консольные команды — это значит, что для эксплуатации необходимо обойти механизмы защиты ядра Linux.
Как защититься?
Для того чтобы обезопасить свои серверы, необходимо установить патч (заплатку), выпущенную поставщиком соответствующего Linux-дистрибутива. Кроме того, Cyberciti.biz опубликовал инструкцию по обнаружению всех сервисов, приложений и исполняемых файлов в дистрибутиве, связанных с уязвимой библиотекой glibc (GNU C Library), а также устранением ошибки.
