Спецпроекты

Безопасность Администратору Маркет

В Linux обнаружена новая серьезная «дыра». Большинство серверов уязвимы

В Linux найдена новая уязвимость. Она существовала с 2000 г. и была устранена лишь два года назад. Несмотря на существование патча, большинство серверов на сегодняшний день остаются уязвимы.

Обнаружена уязвимость, содержащаяся в большинстве дистрибутивов Linux и позволяющая хакерам исполнять произвольный код на веб-серверах, почтовых серверах и других серверных системах, предназначенных для важных функций, сообщает Ars Technica. Уязвимость находится в библиотеке GNU C (glibc) и представляет собой угрозу, в некоторых аспектах сравнимую с угрозой, которую несли уязвимости Heartbleed и Shellshock, обнаруженные в 2014 г., пишет издание.

Glibc — одна из самых популярных библиотек в Linux. Она содержит стандартные функции, используемые программами, написанными на языках C и C++.

Новая уязвимость была обнаружена специалистами компании Qualys два года назад, однако большинство версий Linux, используемых в сервером оборудовании, к сегодняшнему дню не были обновлены и содержат «дыру». Осложняет установку патчей тот факт, что для этого требуются доступ к базовым компонентам систем и их перезагрузка.

Специалисты обозначили уязвимость кодовым словом Ghost, хотя она имеет и стандартную маркировку — CVE-2015-0235. Имя Ghost — это сокращение от функций gethostbyname() и gethostbyname2(), через которые можно эксплуатировать уязвимость удаленно.

«В ходе анализа кода мы обнаружили переполнение буфера в функции __nss_hostname_digits_dots() библиотеки GNU C Library (glibc). Эта уязвимость доступна как локально, так и удаленно посредством функций gethostbyname*(). Мы дали ей имя Ghost», — сообщили специалисты Qualys.


Несмотра на наличие обновления, большинство Linux-серверов остаются уязвимы

Эксперты разработали эксплойт, позволяющий дистанционно взломать почтовый сервер Exim, выполнив на нем произвольный код благодаря уязвимости Ghost. Эксплойт специалисты не стали публиковать.

Помимо Linux, уязвимость затрагивает программы, написанные на Python, Ruby и большинстве других языков, так как они также используют библиотеку glibc. Чтобы защитить систему от уязвимости Ghost, необходимо либо найти замену glibc, либо убедиться, что в системе используется версия glibc, в которой баг был устранен, добавляет Ars Technica.

Примечателен тот факт, что уязвимость существовала с 2000 г. (начиная с версии 2.2 библиотеки).

«Уязвимы системы Debian 7, Red Hat Enterprise Linux 6 и 7, CentOS 6 и 7 и Ubuntu 12.04 - многие из них являются так называемыми дистрибутивами с длительной поддержкой (TLS) и потому повсеместно используются. Для того чтобы обезопасить свои сервера, необходимо установить патч на систему от своего Linux-вендора», — говорится в присланном CNews совместном сообщении компаний Qrator Labs и Wallarm, специализирующихся на защите веб-сайтов.

«Ghost — уязвимость, конечно, не такая суровая, как Heartbleed, поскольку задевает только сервера. Но сервера — это неотъемлемая часть инфраструктуры, обычно с хорошей связностью и дорогими данными», — сказал Александр Лямин, руководитель Qrator Labs.

«От тотального заражения пока спасает относительная сложность эксплуатации уязвимости. Ведь в сравнении с недавним нашумевшим Shellshock мы имеем выполнение бинарных инструкций, а не консольных команд, — добавил генеральный директор Wallarm Иван Новиков. — Для рабочей эксплуатации необходимо обойти несколько механизмов защиты, предусмотренных в ядре операционной системы Linux».

Напомним, «дыра» под кодовым именем ShellShock была обнаружена в сентябре 2014 г. Она содержится в командной оболочке Bash и позволяет выполнять произвольные команды. Уязвимость Heartbleed была обнаружена в апреле 2014 г. Она содержится в протоколе шифрования OpenSSL и позволяет получать доступ к содержимому оперативной памяти серверов. Обе уязвимости наделали много шума вследствие своей повсеместной распространенности.

Сергей Попсулин

Короткая ссылка