GHOST: nowa krytyczna podatność – łatać się kto może…

Mieliśmy shellshocka, mieliśmy heartbleeda, czas na GHOSTA, który dzisiaj został ogłoszony przez team Qualysa.

Błąd tym razem jest przepełnieniem bufora w jednej z funkcji standardowej linuksowej biblioteki glibc: __nss_hostname_digits_dots() – ale można się do niej „dobić” (exploitując podatność) korzystając niezmiernie popularnej rodziny funkcji:   gethostbyname*().

Jak to piszą odkrywcy buga:

This bug is reachable both locally and remotely via the gethostbyname*() functions

Z kolei funkcje gethostbyname() w skrócie – służą do zamiany nazw DNS na adresy IP (i na odwrót). Podstawowa funkcjonalność, prawda? Wprawdzie w wielu miejscach nie zaleca się już korzystania z tych funkcji (status: deprecated), ale jak wiadomo używamy masę starego kodu (pisanego jeszcze w czasach gdy użycie gethostbyname() było zalecane), a nie wszyscy wprowadzają zalecania w życie.

Przykład? Autorzy znaleziska w ramach Proof of Concept znaleźli zdalne wykonanie kodu w znanym serwerze pocztowym Exim-ie (update: niekoniecznie w domyślnej konfiguracji – co może obniżać krytyczność tego PoC-a:

As a proof of concept, we developed a full-fledged remote exploit against the Exim mail server, bypassing all existing protections (ASLR, PIE, and NX) on both 32-bit and 64-bit machines. We will publish our exploit as a Metasploit module in the near future.

Ale oczywiście i inne usługi mogą (i pewnie będą) podatne.

Bug istnieje od 2000 roku, a został załatany w maju 2013 (ale nie w związku z problemami bezpieczeństwa…), co powoduje choćby dystrybucje Linuksa, które nie posiadają w miarę najnowszych glibc – takie jak:

Debian 7 (wheezy), Red Hat Enterprise Linux 6 & 7, CentOS 6 & 7,  Ubuntu 12.04– są podatne (dzisiaj udostępnione zostały patche).

Autorzy udostępniają też niewielki kod w języku C, sprawdzający czy jesteśmy podatni czy nie (do własnej kompilacji i uruchomienia):

#include <netdb.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <errno.h>

#define CANARY "in_the_coal_mine"

struct {
  char buffer[1024];
  char canary[sizeof(CANARY)];
} temp = { "buffer", CANARY };

int main(void) {
  struct hostent resbuf;
  struct hostent *result;
  int herrno;
  int retval;

  /*** strlen (name) = size_needed - sizeof (*host_addr) - sizeof (*h_addr_ptrs) - 1; ***/
  size_t len = sizeof(temp.buffer) - 16*sizeof(unsigned char) - 2*sizeof(char *) - 1;
  char name[sizeof(temp.buffer)];
  memset(name, '0', len);
  name[len] = '\0';

  retval = gethostbyname_r(name, &resbuf, temp.buffer, sizeof(temp.buffer), &result, &herrno);

  if (strcmp(temp.canary, CANARY) != 0) {
    puts("vulnerable");
    exit(EXIT_SUCCESS);
  }
  if (retval == ERANGE) {
    puts("not vulnerable");
    exit(EXIT_SUCCESS);
  }
  puts("should not happen");
  exit(EXIT_FAILURE);
}

Metryka buga z RedHata:

Update1:

Pod tym adresem załoga Qualysa stwierdza:

PS

To tylko podstawowa informacja o bug-u – w trakcie rozwoju sytuacji postaramy się publikować aktualizacje.

–ms