Обнаруженная два года назад специалистами компании Qualys ошибка в большинстве версий Linux до сих пор не устранена и делает множество интернет-серверов уязвимыми, пишет Ars Technica.
Ошибка содержится в библиотеке GNU C и несет в себе угрозу, сравнимую разве что с уязвимостями Heartbleed и Shellshock, обнаруженными в 2014 году.
Новый "баг" под кодовым словом Ghost позволяет хакерам исполнять произвольный код на веб-серверах, почтовых серверах и других серверных системах, предназначенных для выполнения важных функций.
В своем официальном блоге специалисты Qualys сообщили, что в ходе анализа кода было обнаружено переполнение буфера, позволяющее эксплуатировать уязвимость. "Эта уязвимость доступна как локально, так и удаленно посредством функций gethostbyname", - цитирует сообщение Qualys Ars Technica.
Помимо Linux, "баг" затрагивает программы, написанные на Python, Ruby и большинстве других языков, использующих библиотеку glibc. Чтобы защитить систему от уязвимости Ghost, необходимо либо найти замену glibc, либо убедиться, что в системе используется свежая версия glibc, в которой этот "баг" был устранен.
Кстати, уязвимость в сервером оборудовании существовала с 2000 года, однако ни одно обновление Linux его так и не устранило. Связано это с тем, что для установки патчей требуются доступ к базовым компонентам систем и их перезагрузка.
Справка "РГ"
Glibc - одна из самых популярных библиотек в Linux. Она содержит стандартные функции, используемые программами, написанными на языках C и C++.
Имя Ghost - это сокращение от функций gethostbyname() и gethostbyname2(), через которые можно эксплуатировать уязвимость удаленно.
http://www.rg.ru/2015/01/28/linux-site-anons.html
Как у нас с этим?
Баг в GlibC
-
Галахов Роман
- Сообщения: 2301
- Зарегистрирован: 26 фев 2012, 20:02
- Откуда: Моск. обл. Волоколамск
Баг в GlibC
Rosa 2021.1 Fresh HIPER SLIM
Re: Баг в GlibC
В апстриме этот баг года два назад закрыли, так что в rosa2014.1 его с самого начала не было.Галахов Роман писал(а):Как у нас с этим?
Intel Core i7-6700 / 8 Gb RAM / GeForce GTX 750 Ti / Rosa 2016.1 i586
Re: Баг в GlibC
"Glibc 2.18 и более новые выпуски не подвержены уязвимости."
http://www.opennet.ru/opennews/art.shtml?num=41549
http://www.opennet.ru/opennews/art.shtml?num=41549
-
Галахов Роман
- Сообщения: 2301
- Зарегистрирован: 26 фев 2012, 20:02
- Откуда: Моск. обл. Волоколамск
Re: Баг в GlibC
Fresh - и так понятноPulfer писал(а):В апстриме этот баг года два назад закрыли, так что в rosa2014.1 его с самого начала не было.Галахов Роман писал(а):Как у нас с этим?
А Марафон, спец версии - где база 2011? Особенно спец версии этим болеют или нет?
Rosa 2021.1 Fresh HIPER SLIM
Re: Баг в GlibC
Насколько я знаю, у спец. версий в следующем обновлении (а обновления там рассылаются на дисках, проходящих сертификацию) будет та же версия glibc, что и в rosa2014.1. Про Марафон сейчас ничего не могу сказать, его поддержкой занимается security team, в понедельник поинтересуюсь, если не забуду.Галахов Роман писал(а):Fresh - и так понятно
А Марафон, спец версии - где база 2011? Особенно спец версии этим болеют или нет?
Intel Core i7-6700 / 8 Gb RAM / GeForce GTX 750 Ti / Rosa 2016.1 i586
Re: Баг в GlibC
В RELS 6.5/6.6 исправили.
Спасибо Андрею Лукошко.
Спасибо Андрею Лукошко.