[GHOST] Gravissima falla di sicurezza

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
Avatar utente
ZeroUno
Staff
Staff
Messaggi: 5051
Iscritto il: ven giu 02, 2006 14:52
Nome Cognome: Matteo Rossini
Slackware: current
Kernel: slack-current
Desktop: ktown-latest
Distribuzione: 01000000-current
Località: Roma / Castelli
Contatta:

[GHOST] Gravissima falla di sicurezza

Messaggioda ZeroUno » mer gen 28, 2015 14:38

A quanto pare recentemente si stanno scoprendo tutti i bug sconosciuti che affettano i sistemi da tanti anni, per esempio bash con shellshock che aveva una vulnerabilità inserita chissà quanti anni fa e scoperta solo di recente, idem openssl con heartbleed

Ora è la volta delle glibc con il bug GHOST che non sta per Fantasma ma per l'abbreviazione del nome della funzione gethostbyname della glibc 2.2 e successiva; praticamente sono affetti tutti i pacchetti che fanno uso della rete (kernel, ssh, apache, mailserver ma anche browser, client mail ecc ecc) e probabilmente anche quelli che non usano la rete.

http://punto-informatico.it/4217252/PI/ ... linux.aspx


quale sarà la prossima?
Packages finder: slakfinder.org | Slackpkg+, per aggiungere repository a slackpkg

Codice: Seleziona tutto

1011010 1100101 1110010 1101111 - 0100000 - 1010101 1101110 1101111

Avatar utente
brg
Linux 2.4
Linux 2.4
Messaggi: 413
Iscritto il: sab mar 12, 2011 14:20
Slackware: 14.2
Kernel: 4.4.38
Desktop: KDE4
Località: Montecatini
Contatta:

Re: [GHOST] Gravissima falla di sicurezza

Messaggioda brg » mer gen 28, 2015 15:28

Questa vulnerabilità è stata patchata (che brutto termine :? ) già nell'agosto 2013 con le glibc 2.18. Colpisce solo le glibc dalle versioni 2.2 a 2.17. Detto questo, aspetto l'aggiornamento di sicurezza di Slackware, che usa la versione 2.17, ma senza troppo timori: non è una falla facilmente sfruttabile, specialmente per un utente desktop.

Dal messaggio che ne spiega il funzionamento:

Codice: Seleziona tutto

--[ 3 - Mitigating factors ]--------------------------------------------------

The impact of this bug is reduced significantly by the following
reasons:

- A patch already exists (since May 21, 2013), and has been applied and
  tested since glibc-2.18, released on August 12, 2013:

        [BZ #15014]
        * nss/getXXbyYY_r.c (INTERNAL (REENTRANT_NAME))
        [HANDLE_DIGITS_DOTS]: Set any_service when digits-dots parsing was
        successful.
        * nss/digits_dots.c (__nss_hostname_digits_dots): Remove
        redundant variable declarations and reallocation of buffer when
        parsing as IPv6 address.  Always set NSS status when called from
        reentrant functions.  Use NETDB_INTERNAL instead of TRY_AGAIN when
        buffer too small.  Correct computation of needed size.
        * nss/Makefile (tests): Add test-digits-dots.
        * nss/test-digits-dots.c: New test.

- The gethostbyname*() functions are obsolete; with the advent of IPv6,
  recent applications use getaddrinfo() instead.

- Many programs, especially SUID binaries reachable locally, use
  gethostbyname() if, and only if, a preliminary call to inet_aton()
  fails. However, a subsequent call must also succeed (the "inet-aton"
  requirement) in order to reach the overflow: this is impossible, and
  such programs are therefore safe.

- Most of the other programs, especially servers reachable remotely, use
  gethostbyname() to perform forward-confirmed reverse DNS (FCrDNS, also
  known as full-circle reverse DNS) checks. These programs are generally
  safe, because the hostname passed to gethostbyname() has normally been
  pre-validated by DNS software:

  . "a string of labels each containing up to 63 8-bit octets, separated
    by dots, and with a maximum total of 255 octets." This makes it
    impossible to satisfy the "1-KB" requirement.

  . Actually, glibc's DNS resolver can produce hostnames of up to
    (almost) 1025 characters (in case of bit-string labels, and special
    or non-printable characters). But this introduces backslashes ('\\')
    and makes it impossible to satisfy the "digits-and-dots"
    requirement.



All'atto pratico è molto difficile poter sfruttare questa falla per effettuare con successo un attacco informatico di qualunque tipo.

Avatar utente
ponce
Iper Master
Iper Master
Messaggi: 2194
Iscritto il: mer mar 05, 2008 16:45
Nome Cognome: Matteo Bernardini
Slackware: slackware64-current
Kernel: 4.14.0
Desktop: lxde
Località: Pisa
Contatta:

Re: [GHOST] Gravissima falla di sicurezza

Messaggioda ponce » mer gen 28, 2015 15:48

ZeroUno ha scritto: praticamente sono affetti tutti i pacchetti che fanno uso della rete (kernel, ssh, apache, mailserver ma anche browser, client mail ecc ecc)

in realta' no, giusto exim (installato di default su Debian)

http://www.theregister.co.uk/2015/01/27 ... erability/
According to Qualys, GHOST is not as widespread as it could be. The buggy routines in question are outdated and are no longer used by much software. Where they are used, they typically aren't called in a way meets the criteria for the exploit.

Qualys says it has tested a number of other applications and servers that make use of the affected functions and has determined that they are not vulnerable, including apache, cups, dovecot, gnupg, isc-dhcp, lighttpd, mariadb/mysql, nfs-utils, nginx, nodejs, openldap, openssh, postfix, proftpd, pure-ftpd, rsyslog, samba, sendmail, sysklogd, syslog-ng, tcp_wrappers, vsftpd, and xinetd.

Avatar utente
ZeroUno
Staff
Staff
Messaggi: 5051
Iscritto il: ven giu 02, 2006 14:52
Nome Cognome: Matteo Rossini
Slackware: current
Kernel: slack-current
Desktop: ktown-latest
Distribuzione: 01000000-current
Località: Roma / Castelli
Contatta:

Re: [GHOST] Gravissima falla di sicurezza

Messaggioda ZeroUno » mer gen 28, 2015 17:41

però non basta dire 'apache' 'openssh' ecc ma anche la versione.
Per esempio al lavoro ho server redhat5 che ha ssh 4.3 e glibc 2.5 perchè è una distribuzione LTS. I pacchetti hanno parecchi backport di patch dai superiori, ma sempre quella versione è.
redhat ha già tirato fuori la patch di glibc e nscd.
La segnalazione del 2013 non era stata segnalata come bug di sicurezza, quindi pochi l'hanno implementata.
Packages finder: slakfinder.org | Slackpkg+, per aggiungere repository a slackpkg

Codice: Seleziona tutto

1011010 1100101 1110010 1101111 - 0100000 - 1010101 1101110 1101111

Avatar utente
brg
Linux 2.4
Linux 2.4
Messaggi: 413
Iscritto il: sab mar 12, 2011 14:20
Slackware: 14.2
Kernel: 4.4.38
Desktop: KDE4
Località: Montecatini
Contatta:

Re: [GHOST] Gravissima falla di sicurezza

Messaggioda brg » mer gen 28, 2015 18:10

ZeroUno ha scritto:La segnalazione del 2013 non era stata segnalata come bug di sicurezza, quindi pochi l'hanno implementata.


Non è stata segnalata come bug di sicurezza perché fa riferimento ad una funzione deprecata dal 1999 ed eliminata dallo standard POSIX dal 2008. In pratica è supportata dalla libreria GNU solo per avere retrocompatibilità con software molto vecchio. Inoltre, come fa notare il messaggio di annuncio del bug, anche in quei casi in cui è presente l'uso di gethostbyname(), è difficile che ciò sia sfruttabile per un attacco.

Avatar utente
ponce
Iper Master
Iper Master
Messaggi: 2194
Iscritto il: mer mar 05, 2008 16:45
Nome Cognome: Matteo Bernardini
Slackware: slackware64-current
Kernel: 4.14.0
Desktop: lxde
Località: Pisa
Contatta:

Re: [GHOST] Gravissima falla di sicurezza

Messaggioda ponce » mer gen 28, 2015 21:25

giusto per completezza linko anche il thread di oss-sec
http://seclists.org/oss-sec/2015/q1/283

Avatar utente
ZeroUno
Staff
Staff
Messaggi: 5051
Iscritto il: ven giu 02, 2006 14:52
Nome Cognome: Matteo Rossini
Slackware: current
Kernel: slack-current
Desktop: ktown-latest
Distribuzione: 01000000-current
Località: Roma / Castelli
Contatta:

Re: [GHOST] Gravissima falla di sicurezza

Messaggioda ZeroUno » mer gen 28, 2015 22:15

Pat ha rilasciato la fix per slackware.

Per current è solo glibc-zoneinfo, per 14.1 anche gli altri.
Packages finder: slakfinder.org | Slackpkg+, per aggiungere repository a slackpkg

Codice: Seleziona tutto

1011010 1100101 1110010 1101111 - 0100000 - 1010101 1101110 1101111

Avatar utente
ponce
Iper Master
Iper Master
Messaggi: 2194
Iscritto il: mer mar 05, 2008 16:45
Nome Cognome: Matteo Bernardini
Slackware: slackware64-current
Kernel: 4.14.0
Desktop: lxde
Località: Pisa
Contatta:

Re: [GHOST] Gravissima falla di sicurezza

Messaggioda ponce » gio gen 29, 2015 7:56