ValdikSS Jan 27 2015 at 21:12

GHOST — уязвимость gethostbyname() в glibc

1 min

18K

Digital Security corporate blogInformation Security*

+24

Comments 25

angapov Jan 27 2015 at 22:27

Что-то не понял. Судя по статье это как же надо сойтись звездам, чтобы можно было эту уязвимость эксплуатировать? И что если мои хостнэймы не подпадают под вышеперечисленные критерии?

ValdikSS Jan 27 2015 at 22:31

Для того, чтобы появилась возможность выполнения кода, нужно здорово постараться. Парням просто повезло с организацией памяти в exim4, и с тем, что есть функция run{} именно там, где должна быть. А чтобы уронить программу, достаточно того, чтобы хостнейм соответствовал описанным критериям.

angapov Jan 27 2015 at 22:36

(убежал срочно патчиться...)

UFO just landed and posted this here

lubezniy Jan 27 2015 at 23:01

Навскидку проглядывается следующий способ эксплуатации:

1. Зарегить домен (или взять уже зарегистрированный) и организовать ему поддержку DNS;
2. Прописать ему в качестве MX-записи вредоносное имя хоста;
3. Зарегиться на каком-нибудь Web-сервисе, отправляющем почту через exim4, указав при регистрации e-mail в подготовленном домене. Сервис передаст мэйлеру письмо с подтверждением регистрации, тот для отправки письма найдёт MX-запись домена и дальше полезет на хост.
4. Профит.

inkvizitor68sl Jan 28 2015 at 01:41

Прописать искомое в PTR хоста, стукнуться в exim телнетом по ipv4 и сказать EHLO — вот тут будет профит.
Все экзимы к утру полягут, если такую ptr-ку сделать смогут.

lubezniy Jan 28 2015 at 08:50

Не знаю, насколько PTR-записи в Сети допустимы на своих DNS-серверах. А на чужих могут и не дать сохранить килобайтную запись.

inkvizitor68sl Jan 28 2015 at 10:42

Все PTR-записи расположены на чьих-то dns-серверах =)
Так что тут вопрос только в наличии своей сети.

UFO just landed and posted this here

Zyoma Jan 27 2015 at 23:06

вызов inet_aton() перед gethostbyname()

Не совсем понял практику использования этих двух функций вместе. Может первое вместо второго? Или gethostbyaddr() вместо gethostbyname()?

ValdikSS Jan 27 2015 at 23:09

Некоторые программы сначала вызывают inet_aton(), и если он не смог распарсить адрес, то gethostbyname(). А хост, который выполнить уязвимость, «выглядит» как IP-адрес (т.е. имеет 4 октета, цифры и точки).

Zyoma Jan 27 2015 at 23:12

Это я понял, спасибо. Я не понял как надо совместно использовать inet_aton() и gethostbyname(), чтоб избежать проблем ?:)

Zyoma Jan 27 2015 at 23:17

Вы отредактировал коммент и мой потерял смысл. :) Теперь я понял, спасибо.

ValdikSS Jan 27 2015 at 23:18

Да, прошу прощения.

Petr0vich Jan 28 2015 at 00:09

— Содержать в себе только цифры и точку
— Первый символ должен быть цифрой
Не могу найти это в оригинале. Кто может процитировать?

ValdikSS Jan 28 2015 at 00:10

www.openwall.com/lists/oss-security/2015/01/27/9

— Its first character must be a digit (line 127).

— Its last character must not be a dot (line 135).

— It must comprise only digits and dots (line 197) (we call this the
«digits-and-dots» requirement).

Kaliha Jan 28 2015 at 00:10

Интересно, как скоро в репах Цента появится обновленная версия.

WapGraf Jan 28 2015 at 04:23

Ждать можно долго… В Debian уже есть. Для CentOS вот так:

sed -i 's/^mirrorlist=/#mirrorlist=/' /etc/yum.repos.d/CentOS-Base.repo
sed -i 's/^#baseurl=/baseurl=/' /etc/yum.repos.d/CentOS-Base.repo
yum clean all
yum makecache fast
yum update glibc
sed -i 's/^#mirrorlist=/mirrorlist=/' /etc/yum.repos.d/CentOS-Base.repo
sed -i 's/^baseurl=/#baseurl=/' /etc/yum.repos.d/CentOS-Base.repo
yum clean all
yum makecache fast

Kaliha Jan 28 2015 at 11:10

Только 2.12-1.149, новее в их репах не появилось.

belier Jan 28 2015 at 11:33

уже появилось:

5 lists.centos.org/pipermail/centos-announce/2015-January/020906.html
6 lists.centos.org/pipermail/centos-announce/2015-January/020907.html
7 lists.centos.org/pipermail/centos-announce/2015-January/020908.html

vstaf Jan 28 2015 at 11:41

В 6-м центосе 2.12-1.149 это как раз версия с фиксом)

Kaliha Jan 28 2015 at 11:54

Спасибо.

angapov Jan 28 2015 at 17:50

Объясните пожалуйста, в описании уязвимости описан случай Экзима, но, насколько я понял из того же описания, это по-большому счету проблемы того же Экзима + микроскопическая уязвимость в glibc.
Да, Ред Хат говорят, что это critical vulnerability, но мне кажется, они так говорят автоматически на все, что содержит «arbitrary code execution», неважно при каких условиях это может быть получено.
Я не понимаю, как это может угрожать тем, кто не использует Экзим? Реально не понимаю.

ValdikSS Jan 28 2015 at 18:16

Данная уязвимость позволяет удаленно перезаписать хоть и пару, но байт в программе, но, в целом, вы в чем-то правы: уронить программу может быть достаточно просто, а выполнить код в ней — сложно, если вообще возможно.

datacompboy Jan 29 2015 at 16:13

проблема в том, что подвержена этому багу неопределённая тонна программ, вполне корректно использующие этот вызов из glibc.
и без анализа каждой конкретной нельзя сказать, что она иммунна к нему.
например экзим оказался хоть и с диким переподвыподвертом — но узявим до уровня реально эксплуатируемого RCE.
как выяснилось, весьма популярный форум на php тоже оказался уязвим.
и никто не может сказать какое количество еще самых неожиданных мест окажется уязвимым.

именно поэтому, это и критикал.