Cabecera-v2-web.jpg

Grave vulnerabilidad en la librerí­a glibc


linux.png

Google ha confirmado la existencia de una vulnerabilidad de desbordamiento de búfer en la librerí­a glibc (empleada mayoritariamente en distribuciones, aplicaciones y dispositivos Linux), que podrí­a permitir la ejecución remota de código.

glib es la "GNU LIB C". La "librerí­a C" es librerí­a estándar del lenguaje C, usada por prácticamente cualquier programa que se compile en un entorno UNIX. La glibc es la versión de "LIBC" creada por el proyecto GNU, y utilizada por prácticamente todas las distribuciones Linux.

Según describen, el problema saltó a la luz cuando un ingeniero de Google comprobó que su cliente SSH sufrí­a un fallo de segmentación cada vez que intentaba conectar a un host especí­fico. Tras una investigación intensa descubrieron que el problema residí­a en glibc y no en SSH como creí­an inicialmente.

Fruto de la investigación comprobaron que el problema podí­a permitir la ejecución remota de código. Sorprendentemente el equipo de mantenimiento de glibc ya habí­a sido alertado de este problema, a través de su gestor de fallos en julio de 2015. Por otra parte, destacan la colaboración con dos investigadores de Red Hat que también estaban estudiando el impacto de forma independiente.

La vulnerabilidad ha pasado desapercibida durante mucho tiempo, realmente se introdujo en la versión 2.9 de la librerí­a, lanzada en mayo de 2008, y afecta a todas las versiones publicadas desde entonces.

El problema, al que se le ha asignado el CVE-2015-7547, reside en que la resolución DNS en el lado del cliente es vulnerable a un desbordamiento de búfer basado en pila cuando se usa la función getaddrinfo (); al tratar respuestas DNS de un tamaño superior a 2.048 bytes. Esto podrí­a permitir al atacante ejecutar código arbitrario en los sistemas afectados con los privilegios del usuario relacionado.

Todo el software que utilice esta función puede ser explotado con nombres de dominio controlados por un atacante, servidores DNS controlados por atacantes, o por medio ataques hombre en el medio.

Fruto de la colaboración de los técnicos de Google y Red Hat se ha podido investigar el problema, desarrollar un parche y realizar todos los test de regresión. Aunque se destaca el trabajo realizado principalmente por el equipo de la distribución de Linux.

El parche publicado está disponible desde:

https://sourceware.org/ml/libc-alpha/2016-02/msg00...

Google confirma que el problema no es fácil de explotar, aunque es posible lograr la ejecución remota de código. Es necesario evitar mitigaciones de seguridad existentes como ASLR. Como es obvio no publican el código para explotar el problema, aunque sí­ ofrecen una prueba de concepto para comprobar si se está afectado por este problema.

La librerí­a glibc es uno de los pilares de muchos sistemas, distribuciones, aplicaciones, entornos o sistemas empotrados. Prácticamente casi todo el software nativo y no nativo hace uso de la librerí­a. Eso convertirí­a en virtualmente vulnerable a casi todos los programas que hagan uso de la función afectada. En breve aparecerán actualizaciones para múltiples productos que usen esta librerí­a.

Las principales distribuciones Linux ya ofrecen actualizaciones:
Debian: http://www.debian.org/security/2016/dsa-3481
Gentoo: https://bugs.gentoo.org/show_bug.cgi?id=574880
Ubuntu: http://www.ubuntu.com/usn/usn-2900-1/
Red Hat: https://rhn.redhat.com/errata/RHSA-2016-0225.html y
https://rhn.redhat.com/errata/RHSA-2016-0176.html


Fuente: hispasec.com


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11