GHOST Vulnerability (CVE-2015-0235)
這篇文章主要說明一個 1月底才發現的 Linux 嚴重的資訊安全風險,這個風險透過 GetHostName 的Buffer Overview 導致 Linux Server 被入侵。
由於幾乎有的 Linux 主機都收到這個風險的影響,因此建議盡快更新 Linux 版本。這篇文章說明:
- 這個風險是什麼
- 影響的範圍
- 如何偵測與更新
這個風險GHOST 是什麼?
這個風險來自於Linux glibc library. 讓駭客不需要帳號密碼就可以取得整個 Linux 主機的控制權。
CVE-2015-0235. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0235
glibc 是標準 Linux C語言的程式庫,所以預設所有的 Linux 都會有這個程式庫。因此,該風險影響的範圍很大。
駭客可以透過 gethostbyname () 這個 API,buffer overflow 的方式,入侵該 Linux 主機。
這個 API 主要的功能為將 hostname 解析為 IP address。
那些Linux 版本會受到影響?
- Debian 7 (wheezy)
- Red Hat Enterprise Linux 6 & 7
- CentOS 6 & 7
- Ubuntu 12.04
如何檢查是否有相關服務用到glibc ?
lsof | grep libc | awk ‘{print $1}’ | sort | uni
如何更新?
- Fix for Centos/RHEL/Fedora 5,6,7
yum update glibc
sudo restart
- Fix for Ubuntu
sudo apt-get update
sudo apt-get dist-upgrade
sudo restart
參考資料
- BUGTRAQ:20150127 GHOST gethostbyname() heap overflow in glibc (CVE-2015-0235)
- URL:http://seclists.org/oss-sec/2015/q1/269
- BUGTRAQ:20150127 Qualys Security Advisory CVE-2015-0235 – GHOST: glibc gethostbyname buffer overflow
- URL:http://seclists.org/oss-sec/2015/q1/274
- MISC:https://community.qualys.com/blogs/laws-of-vulnerabilities/2015/01/27/the-ghost-vulnerability