Pida Presupuesto sin compromiso

miércoles, 4 de febrero de 2015

Bug de Seguridad crítico en LINUX: GHOST

Que hace GHOST?

GHOST es un "acrónimo" de get host by name que no es nada más que un método utilizado para realizar llamadas al sistema y obtener respuestas.

Basándose en esta variable es posible llegar a bloquear el sistema y a través de él obtener permisos de root para poder cambiar lo que se quiera a voluntad y poder hackear el sistema de forma completa.

En definitiva que si pueden tener acceso desde fuera a tu sistema Linux, podrían ejecutar esta debilidad y aprovecharla para fraude, llamadas a países con números premium, etc..

Más abajo hay webs que os explican con bastante mejor detalle en que consiste la debilidad.

Me afecta?

si tu sistema tiene puertos dirigidos al exterior o es susceptible de poder ser atacado desde dentro si te puede afectar y es más que conveniente actualizar el sistema cuanto antes.

Un método para poder conocerlo es utilizar esta prueba

wget https://webshare.uchicago.edu/orgs/ITServices/itsec/Downloads/GHOST.c -O ghost.c

gcc -o ghost ghost.c

./ghost

Si responde "Vulnerable" ya sabéis

que hay que actualizar al menos glibc con:

Como remediarlo?

Básicamente hay que actualizar la librería glibc presente en muchos de los sistemas Linux existentes. He aquí una lista de ellos:

RHEL (Red Hat Enterprise Linux) version 5.x, 6.x and 7.x
CentOS Linux version 5.x, 6.x & 7.x
Ubuntu Linux version 10.04, 12.04 LTS
Debian Linux version 7.x
Linux Mint version 13.0
Fedora Linux version 19 or older
SUSE Linux Enterprise 11 and older (also OpenSuse Linux 11 or older versions).
SUSE Linux Enterprise Software Development Kit 11 SP3
SUSE Linux Enterprise Server 11 SP3 for VMware
SUSE Linux Enterprise Server 11 SP3
SUSE Linux Enterprise Server 11 SP2 LTSS
SUSE Linux Enterprise Server 11 SP1 LTSS
SUSE Linux Enterprise Server 10 SP4 LTSS
SUSE Linux Enterprise Desktop 11 SP3
Arch Linux glibc version <= 2.18-1

Lo primero que deberíamos hacer es ver la versión de glibc que tenemos en Centos 5 se puede ver con el siguiente comando:

rpm -q glibc

Si esta version no es  glibc-2.5-123.el5_11.1 entonces es que no esta actualizada en Centos 5. si es de otro sistema habría que verificarlo.

Como lo actualizamos?

Fácil en principio o al menos yo no he visto mayores problemas

yum clean all

yum update glibc

Una vez hecho hay que reiniciar el sistema con un Reboot y ya estará listo.

Posteriormente haremos la prueba y nos devolverá o debiera "not Vulnerable". También comprobaremos de nuevo la versión de glibc para comprobar que es correcto "rpm -q glibc".

De donde proviene?

Al parecer es un bug que lleva desde el año 2.000 pero que, si bien se subsano en 2.013, no se marcó como crítico hasta Enero de este año a través de la empresa Qualys. Dicha empresa ha esperado para hacer el bug público hasta que se tuvieran versiones actualizadas solucionando este fallo.

Sin embargo por las últimas noticias que tengo es posible que haya hackers que ya lo estén aprovechando.

Documentación al respecto:

http://unaaldia.hispasec.com/2015/01/getrootbygethostbyname.html

http://www.openwall.com/lists/oss-security/2015/01/27/9

http://www.cyberciti.biz/faq/cve-2015-0235-ghost-glibc-buffer-overflow-linux-test-program/

https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2015-0235

https://bugzilla.redhat.com/show_bug.cgi?id=1183461

http://lists.centos.org/pipermail/centos-announce/2015-January/020906.html

http://forum.elastix.org/viewtopic.php?f=116&t=130224&p=137969&hilit=ghost#p137969

Videos de Coratec