Alfonso Maruccia

Libreria glibc, il bug Linux Ŕ sistemico

La popolare libreria C per sistemi operativi open source Ŕ affetta da una vulnerabilitÓ di sicurezza da codice rosso, un problema talmente grave da dover essere gestito in privato dagli sviluppatori. La patch Ŕ in arrivo

Roma - Si torna a parlare delle insicurezze di GNU C Library (glibc), implementazione della libreria C standard che rappresenta uno dei componenti fondamentali dei sistemi operativi basati su Linux e relativo software open source. In glibc c'è un baco, in circolazione da un anno e forse più, che potrebbe portare a ogni genere di rischio per utenti, server e amministratori di sistema.

Classificata come CVE-2015-7547, la falla è stata identificata in istanze separate dai ricercatori di Google e dagli sviluppatori di Red Hat - Florian Weimer e Carlos O'Donell - responsabili del mantenimento del progetto glibc. Le prime avvisaglie del bug risalgono al luglio dell'anno scorso, anche se vi è stata assegnata una priorità inferiore e il problema riguarda la versione 2.9 della libreria - uscita nel maggio del lontano 2008.

La vulnerabilità è di tipo buffer overflow ed è presente all'interno del resolver DNS di glibc, componente necessario a tradurre i nomi di dominio in indirizzi IP fisici e largamente utilizzato da un gran numero di programmi per OS Linux. Un dominio malevolo potrebbe fornire una risposta malformata a una richiesta di lookup del resolver, superando lo spazio di memoria allocato dal componente e portando all'esecuzione del codice potenzialmente pericoloso.
Sfruttare il bug non è facile, visto che oltre a far scattare il buffer overflow in glibc sarebbe necessario bypassare meccanismi di difesa aggiuntivi come ASLR e firewall avanzati, ma è in ogni caso possibile: in teoria basterebbe ricevere una email contenente un link a un dominio malevolo per compromettere il sistema, rubare dati sensibili, installare malware, aprire backdoor e via elencando.

Weimer e O'Donell sono da tempo al lavoro per correggere la falla, e ora anche i ricercatori di Google si sono associati per velocizzare i lavori di sviluppo della patch. In attesa dell'update, admin e sviluppatori possono servirsi di fattori di mitigazione specifici come la limitazione delle risposte DNS a 1024 byte per tenere il sistema al sicuro. Il codice proof-of-concept è già in circolazione, in ogni caso.

Alfonso Maruccia
Notizie collegate
  • SicurezzaGHOST, la falla che aleggia su LinuxIl kernel del Pinguino Ŕ affetto da una vulnerabilitÓ particolarmente grave, facile da sfruttare per compromettere anche i server pi¨ sicuri. Le patch sono giÓ pronte, l'aggiornamento Ŕ pi¨ che consigliato
  • TecnologiaLinux, glibc ora è davvero libera GNU C Library custodiva ancora linee di codice non protette da licenze Free Software: l'impegno di Red Hat, Debian e Fedora ha ottenuto da Oracle il passaggio alla licenza BSD
61 Commenti alla Notizia Libreria glibc, il bug Linux Ŕ sistemico
Ordina
  • la posto qui per chiunque avesse scaricato la ISO di Mint ieri o oggi http://blog.linuxmint.com/?p=2994
    non+autenticato
  • E Slackware non é vulnerabile (current inclusa glibc-2.22) perché la patch esisteva già 8 anni fa, messa in circolazione da quelli di OpenSUSE!

    http://www.linuxquestions.org/questions/slackware-...

    Grande Pat!
    non+autenticato
  • "The patch came from openSUSE long ago, and was also used by Debian at one time, but we seem to be the only ones who still apply it. I've had two requests in email to remove the patch since glibc had supposedly fixed the issue that prompted it, but left it in place anyway. Maybe luck, maybe slack."

    Pura libidine!
    non+autenticato
  • - Scritto da: Slack Way
    > E Slackware non é vulnerabile (current inclusa
    > glibc-2.22) perché la patch esisteva già 8 anni
    > fa, messa in circolazione da quelli di
    > OpenSUSE!


    quindi gli altri sapevano* ma per 8 anni e non hanno fatto nulla.
    "le patch su linux escono dopo due ore!11232" Rotola dal ridereRotola dal ridereRotola dal ridere


    *o erano incredibilmente incompetenti, non cambia nulla dal punto di vista della sicurezza Sorride
    non+autenticato
  • Uso Slackware perché non mi fido degli altri, poi c' é sempre il trota che si riempie la bocca quando cita il "serissimo" carrozzone RH e il suo zerbino .deb.

    1 Man distro FTW.
    non+autenticato
  • - Scritto da: ....
    > - Scritto da: Slack Way
    > > E Slackware non é vulnerabile (current
    > inclusa
    > > glibc-2.22) perché la patch esisteva già 8
    > anni
    > > fa, messa in circolazione da quelli di
    > > OpenSUSE!
    >
    >
    > quindi gli altri sapevano* ma per 8 anni e non
    > hanno fatto
    > nulla.
    > "le patch su linux escono dopo due ore!11232"
    > Rotola dal ridereRotola dal ridereRotola dal ridere
    >
    >
    > *o erano incredibilmente incompetenti, non cambia
    > nulla dal punto di vista della sicurezza
    >Sorride

    In che senso non hanno fatto nulla? Se la patch è disponibile significa che hanno fatto qualcosa no? All'atto pratico non cambia nulla perchè non è un bug sfruttabile, logico, ma non capisco quale sia il tuo problema.
    non+autenticato
  • - Scritto da: sorso

    > In che senso non hanno fatto nulla? Se la patch è
    > disponibile significa che hanno fatto qualcosa
    > no?

    cosa non hai capito di 'otto anni di ritardo'?
    non+autenticato
  • - Scritto da: sorso
    > - Scritto da: ....
    > > - Scritto da: Slack Way
    > > > E Slackware non é vulnerabile (current
    > > inclusa
    > > > glibc-2.22) perché la patch esisteva già 8
    > > anni
    > > > fa, messa in circolazione da quelli di
    > > > OpenSUSE!
    > >
    > >
    > > quindi gli altri sapevano* ma per 8 anni e non
    > > hanno fatto
    > > nulla.
    > > "le patch su linux escono dopo due ore!11232"
    > > Rotola dal ridereRotola dal ridereRotola dal ridere
    > >
    > >
    > > *o erano incredibilmente incompetenti, non
    > cambia
    > > nulla dal punto di vista della sicurezza
    > >Sorride
    >
    > In che senso non hanno fatto nulla? Se la patch è
    > disponibile significa che hanno fatto qualcosa
    > no? All'atto pratico non cambia nulla perchè non
    > è un bug sfruttabile, logico, ma non capisco
    > quale sia il tuo
    > problema.

    Il suo problema è che NON HA DA FARE NIENTE tutti i giorni dell'anno.

    E quindi preferisce passarli su Pensionati Italiani a qualsiasi ora del giorno e della notte.
    non+autenticato
  • 8 anni ciccio, 8 anni sveja. Fessi come te ce ne stanno pochi.
    non+autenticato
  • Tutto quel ciarpame che usa bidonux? Chi lo aggiorna? E le altre porcate da cantina male illuminata tipo uclib? Tutto a posto?
    non+autenticato
  • - Scritto da: nome e cognome
    > Tutto quel ciarpame che usa bidonux? Chi lo
    > aggiorna? E le altre porcate da cantina male
    > illuminata tipo uclib? Tutto a
    > posto?
    puoi sempre comprare un cisco. quelli non hanno ne bug ne backdoor.
    non+autenticato
  • non hanno bug i cisco?

    sono ovunque.
    non+autenticato
  • - Scritto da: marx
    > non hanno bug i cisco?
    >
    > sono ovunque.

    Ma pensa!
    E magari hanno anche le backdoor? Deluso

    Non ci si puo' proprio fidare di nessun sw closed!
  • - Scritto da: marx
    > non hanno bug i cisco?
    >
    > sono ovunque.
    porca vaccaA bocca aperta se uno non mette almeno 2 smiley e la tag <sarcasm>, qualcuno ci casca sempreCon la lingua fuori
    non+autenticato
  • - Scritto da: nome e cognome
    > Tutto quel ciarpame che usa bidonux? Chi lo
    > aggiorna? E le altre porcate da cantina male
    > illuminata tipo uclib? Tutto a
    > posto?


    Il codice proof-of-concept è già in circolazione, in ogni caso.

    Anche il fix, le mie macchine sono già fixate da ieri.

    In ogni caso, non stiamo parlando di macOsx o di windows.Dove prima ci sono i dolori, e solo dopo la cura.
    non+autenticato
  • - Scritto da: nome e cognome
    > Tutto quel ciarpame che usa bidonux? Chi lo
    > aggiorna? E le altre porcate da cantina male
    > illuminata tipo uclib? Tutto a
    > posto?

    Mi sa che ci hai raggione, in genere comunque si può prendere spu(n)to per una riflessione più seria.

    Come avviene l'aggressione ?

    Il DNS è generalmente uno o più IP fissi nell'Host o nel Router, quindi per avere un "risposta" in overflow qualcuno deve fare spoofing sulla porta 53 e sparare risposte simulando un DNS.

    Purtroppo per il tipo di protocollo questo potrebbe non essere così difficile ma perchè questo sia possibile, ci vuole un attacco MITM.

    Visto che di solito, per motivi di velocità il DNS fa riferimento al provider da cui si opera, l'attacco deve essere o sulla rete locale o sul collegamento tra la rete locale e il provider.

    In sintesi non mi sembra un attacco particolarmente facile, specie se in mezzo ci sono router costantemente patchati di fronte ai quali ci si deve fermare.

    Inoltre, a parte un DOS sul DNS non penso sia così semplice usare questa vulnerabilità per eseguire codice arbitrario, su un router senza saperne la marca o le caratteristiche.

    Dunque dormi tranquillo e asciutto che il mondo va avanti anche con le glibc squaraqquatate, che negli obiettivi sensibili sicuramente saranno già patchate da un pezzo.
    non+autenticato
  • "limitazione delle risposte DNS a 1024 byte"

    come si procede? Su una distro qualunque intendo...
    non+autenticato
  • su ubuntu è già arrivato l'aggiornamento di glibc (tuttavia non so se è per il bug)
    non+autenticato
  • - Scritto da: foobar
    > su ubuntu è già arrivato l'aggiornamento di glibc
    > (tuttavia non so se è per il
    > bug)

    il problema è che tutto ciò che è stato compilato va ricompilato.
    quindi molto meglio agire contemporaneamente col firewall
    non+autenticato
  • tu si che hai capito come funziona linux
    non+autenticato
  • - Scritto da: ...
    > tu si che hai capito come funziona linux

    spiegamelo tu.
    non+autenticato
  • - Scritto da: ....
    > - Scritto da: ...
    > > tu si che hai capito come funziona linux
    >
    > spiegamelo tu.

    linking dinamico, questo sconosciuto

    basta aggiornare il sofile di glibc et voilà, tutti i software che la usano non hanno più il bug automagicamente

    macchettodicaffà!!!
    non+autenticato
  • - Scritto da: collione
    > - Scritto da: ....
    > > - Scritto da: ...
    > > > tu si che hai capito come funziona linux
    > >
    > > spiegamelo tu.
    >
    > linking dinamico, questo sconosciuto
    >
    > basta aggiornare il sofile di glibc et voilà,
    > tutti i software che la usano non hanno più il
    > bug
    > automagicamente
    >
    > macchettodicaffà!!!

    Appunto, non parliamo mica di windows. Occhiolino
    non+autenticato
  • Una volta sostituita la libreria tramite aggiornamento dovresti essere a posto, non capisco la necessita di ricompilare, e cosa poi
  • - Scritto da: khelidan
    > Una volta sostituita la libreria tramite
    > aggiornamento dovresti essere a posto, non
    > capisco la necessita di ricompilare, e cosa
    > poi

    compilazione statica questa sconosciuta?
    non+autenticato
  • - Scritto da: ....
    > - Scritto da: khelidan
    > > Una volta sostituita la libreria tramite
    > > aggiornamento dovresti essere a posto, non
    > > capisco la necessita di ricompilare, e cosa
    > > poi
    >
    > compilazione statica questa sconosciuta?

    infatti io sto chiedendo, essere un po più chiari non guasta, scusa ma non mi intendo di programmazione di sistema
  • - Scritto da: khelidan
    > - Scritto da: ....
    > > - Scritto da: khelidan
    > > > Una volta sostituita la libreria tramite
    > > > aggiornamento dovresti essere a posto, non
    > > > capisco la necessita di ricompilare, e cosa
    > > > poi
    > >
    > > compilazione statica questa sconosciuta?
    >
    > infatti io sto chiedendo, essere un po più chiari
    > non guasta, scusa ma non mi intendo di
    "programmazione" fixed
    non+autenticato