Popularna biblioteka glibc – stack buffer overflow i zdalne wykonanie kodu

Załoga z Googla opublikowała analizę podatności w popularnej bibliotece glibc, która może doprowadzić do zdalnego wykonania kodu na systemie ofiary (udało się przygotować działający exploit). Podatne są wszystkie wersje począwszy od 2.9:

Our initial investigations showed that the issue affected all the versions of glibc since 2.9. You should definitely update if you are on an older version though.

Podobnie jak ze znaczną liczbą błędów, tutaj o wykryciu błędu zdecydował przypadek (jednemu z użytkowników podczas połączenia do konkretnego hosta, 'wywalał się’ klient SSH (segfault)). Po nitce do kłębka – udało się zlokalizować problem nie tyle w samym kliencie SSH, a w popularnej bibliotece glibc – a dokładniej w funkcjach zapewniających obsługę DNS:

The glibc DNS client side resolver is vulnerable to a stack-based buffer overflow when the getaddrinfo() library function is used. Software using this function may be exploited with attacker-controlled domain names, attacker-controlled DNS servers, or through a man-in-the-middle attack.

Wśród aplikacji, które mogą być skutecznie zaatakowane, autorzy znaleziska wymieniają: ssh, sudo czy curl, ale jest ich znacznie, znacznie więcej.

Warto zaznaczyć, że jest to kolejna już istotna podatność w glibce (w zeszłym roku było to CVE-2015-0235, o której pisaliśmy na sekuraku).

–Michał Sajdak