Universidad del Zulia
Correo LUZMapa del sitio
21 de mayo de 2018
 
Departamentos
Gestión de Redes y Telecomunicación
Gestión de Desarrollos y Sistemas Tecnológicos
Gestión de Servicios y Soporte Técnico
Gestión y Control de TIC
Más Diticluz
Servicio de internet
Soporte técnico
Proyectos de la dirección
Descargas
Telefonía IP
Contacto
Info Diticluz

Agrandar texto   Reducir texto   Reestablecer texto    
Ghost: Por qué debes preocuparte por parchear tu Linux PDF Imprimir Correo



Hace un par de días que la noticia de la existencia de una vulnerabilidad en las distribuciones Linux está dando la vuelta al mundo. Esto es debido a que explotando este bug se podría tomar el control del sistema operativo afectado remotamente y no de una manera demasiado complicada. Esta vulnerabilidad se ha bautizado comoGhost y debes preocuparte por erradicarla de todos tus sistemas
operativos, y que como vas te va llevar cierto trabajo.


Un CVE con CVSS de nivel 10

El bug está en la librería glibc, utilizada masivamente por las distribuciones *NIX*, en todas las versiones que van desde la 2.2 de Noviembre del año 2000 hasta la 2.18 de Agosto del 2013 donde fue parchada. El bug en concreto se encuentra en la función __nss_hostname_digits_dots() alcanzable desde las funciones gethostbyname(), gethostbyname2(), gethostbyname_r() y gethostbyname2_r() que la llaman y que son utilizadas para obtener contra un DNS la resolución de un nombre de dominio y donde se encuentra el Buffer Overflow de Ghost que puede ser explotado forzando la resolución de un nombre concreto.

El uso de estas funciones es muy común y en una gran cantidad de entornos se puede acceder al Buffer Overflow remotamente, así que al bug que ha recibido el CVE-2015-0235 se le ha puesto un nivel de importancia de CVSS de 10, es decir, el máximo nivel de criticidad.


Para conseguir llegar al bug, el nombre que hay que introducir es un nombre de dominio de más de 1KB para alcanzar el Buffer Overflow, hacer que el nombre comience con un número y que esté construido enteramente de números y puntos. Una vez conseguido llegar al bug, hay que conseguir un exploit para Linux que sea capaz de ejecutar un payload en el sistema. Los investigadores de Qualys - empresa descubridora del bug - han hecho una prueba de concepto para explotar un servidor Linux con EXIM Mail remotamente.  Con este sencillo exploit de la imagen superior se puede tumbar el proceso de EXIM MTA (Mail Transport Agent) alcanzando el Buffer Overflow que está en el código vulnerable


Plataformas afectadas


Como se ha dicho antes, el bug se arregló en glibc 2.18 en Agosto de 2013, pero como el parche no fue marcado como de seguridad o crítico, muchas de las distribuciones Linux no la aplicaron hasta que se ha hecho pública Ghost, momento en que han salido parches críticos de casi todas las distribuciones. En el blog de Matasano se han recogido las principales distribuciones Linux afectadas - que no todas - para que estés alerta si tienes una de ellas.


El problema es que no solo estas distribuciones pueden ser afectadas, y muchas otras de routers, switches o Access Point WiFi pueden ser vulnerables también, por lo que debes ir sistema operativo de dispositivo por sistema operativo de dispositivo averiguando exactamente qué versión de glibc tienes instalada en él. Recuerda, este es un CVE con un CVSS de 10, lo que significa criticidad máxima en el mundo de la seguridad informática, y por tanto debes asegurarte de que todos tus sistemas operativos de todas tus plataformas quedan correctamente actualizados cuanto antes.

 

 

Fuente: MatasanoSecurity




^ Subir