A Vulnerabilidade do Ghost requer acesso (como sendo um usuário conectado) ao sistema operacional afetado em questão? Alguém pode esclarecer o 'atacante remoto que é capaz de fazer uma chamada de aplicativo'? Apenas pareço encontrar testes para executar no sistema local diretamente, mas não de um host remoto.
Todas as informações que reuni até agora sobre a Vulnerabilidade de Fantasma de várias fontes (créditos para essas fontes) foram postadas abaixo em uma resposta, caso alguém mais esteja curioso.
Editar, encontrei minha resposta :
Durante uma auditoria de código, os pesquisadores da Qualys descobriram um estouro de buffer na função __nss_hostname_digits_dots () da glibc. Esse bug pode ser acionado localmente e remotamente através de todas as funções gethostbyname * (). Os aplicativos têm acesso ao resolvedor DNS principalmente por meio do conjunto de funções gethostbyname * (). Essas funções convertem um nome de host em um endereço IP.
fonte
Respostas:
Resposta à minha pergunta, da Qualys :
Minha pesquisa compilada abaixo para quem procura:
aviso Legal
Apesar do que muitos outros tópicos / blogs possam lhe dizer, sugiro que não atualize imediatamente todos os sistemas operacionais que você possui às cegas, sem testar exaustivamente essas
glibc
atualizações. Foi relatado que as atualizações glibc causaram grandes falhas de aplicativos, forçando as pessoas a reverter suas atualizações glibc para a versão anterior.Não basta atualizar em massa um ambiente de produção sem testar.
Informações básicas
GHOST é um bug de 'buffer overflow' que afeta as chamadas de função gethostbyname () e gethostbyname2 () na biblioteca glibc. Essa vulnerabilidade permite que um invasor remoto capaz de fazer uma chamada de aplicativo para uma dessas funções execute código arbitrário com as permissões do usuário que está executando o aplicativo.
Impacto
As chamadas de função gethostbyname () são usadas para resolução de DNS, que é um evento muito comum. Para explorar esta vulnerabilidade, um invasor deve acionar um estouro de buffer fornecendo um argumento de nome de host inválido para um aplicativo que executa uma resolução de DNS.
Lista atual de distribuições Linux afetadas
RHEL (Red Hat Enterprise Linux) versão 5.x, 6.xe 7.x
CentOS Linux versão 5.x, 6.x e 7.x
Ubuntu Linux versão 10.04, 12.04 LTS
Debian Linux versão 6.x, 7.x
Linux Mint versão 13.0
Fedora Linux versão 19 (ou anterior deve atualizar)
SUSE Linux Enterprise
openSUSE (versões anteriores a 11 devem ser atualizadas)
Quais pacotes / aplicativos ainda estão usando o glibc excluído?
( créditos para Gilles )
Para CentOS / RHEL / Fedora / Scientific Linux:
Para Ubuntu / Debian Linux:
Qual versão da biblioteca C (glibc) meu sistema Linux usa?
A maneira mais fácil de verificar o número da versão é executar o seguinte comando:
Amostras de saídas do RHEL / CentOS Linux v6.6:
Exemplo de saídas do Ubuntu Linux 12.04.5 LTS:
Exemplo de saídas do Debian Linux v7.8:
Verificação de vulnerabilidade GHOST
A Universidade de Chicago está hospedando o script abaixo para facilitar o download:
Compile e execute-o da seguinte maneira:
Red Hat Access Lab: ferramenta GHOSTNão use esta ferramenta, seus relatórios estão incorretos, o verificador de vulnerabilidades da Qualys é preciso.Remendo
CentOS / RHEL / Fedora / Linux Científico
Agora reinicie para ter efeito:
Como alternativa, se o seu espelho não contiver os pacotes mais recentes, faça o download manualmente. * observação: para usuários mais avançados
CentOS 5
CentOS 6
Ubuntu / Debian Linux
Reiniciar:
SUSE Linux Enterprise
Para instalar esta atualização de segurança do SUSE, use o YaST online_update. Ou use os seguintes comandos conforme sua versão:
Kit de Desenvolvimento de Software SUSE Linux Enterprise 11 SP3
SUSE Linux Enterprise Server 11 SP3 para VMware
SUSE Linux Enterprise Server 11 SP3
SUSE Linux Enterprise Server 11 SP2 LTSS
SUSE Linux Enterprise Server 11 SP1 LTSS
SUSE Linux Enterprise Desktop 11 SP3
Finalmente, execute todas as versões linux do SUSE para atualizar seu sistema:
OpenSUSE Linux
Para ver uma lista de atualizações disponíveis, incluindo glibc no OpenSUSE Linux, digite:
Para simplesmente atualizar os pacotes glibc instalados com suas novas versões disponíveis, execute:
Quase todos os programas em execução na sua máquina usam glibc. Você precisa reiniciar todos os serviços ou aplicativos que usam glibc para garantir que o patch entre em vigor. Portanto, uma reinicialização é recomendada.
Como reiniciar o init sem reiniciar ou afetar o sistema?
Atenuar imediatamente a ameaça de maneira limitada é desabilitar as verificações reversas de DNS em todos os seus serviços públicos. Por exemplo, você pode desabilitar a verificação de DNS reverso em SSH, definindo
UseDNS
ano
sua/etc/ssh/sshd_config
.Fontes (e mais informações):
fonte