Si torna a parlare delle insicurezze di GNU C Library (glibc), implementazione della libreria C standard che rappresenta uno dei componenti fondamentali dei sistemi operativi basati su Linux e relativo software open source. In glibc c’è un baco, in circolazione da un anno e forse più, che potrebbe portare a ogni genere di rischio per utenti, server e amministratori di sistema.
Classificata come CVE-2015-7547, la falla è stata identificata in istanze separate dai ricercatori di Google e dagli sviluppatori di Red Hat – Florian Weimer e Carlos O ‘ Donell – responsabili del mantenimento del progetto glibc. Le prime avvisaglie del bug risalgono al luglio dell’anno scorso, anche se vi è stata assegnata una priorità inferiore e il problema riguarda la versione 2.9 della libreria – uscita nel maggio del lontano 2008.
La vulnerabilità è di tipo buffer overflow ed è presente all’interno del resolver DNS di glibc, componente necessario a tradurre i nomi di dominio in indirizzi IP fisici e largamente utilizzato da un gran numero di programmi per OS Linux. Un dominio malevolo potrebbe fornire una risposta malformata a una richiesta di lookup del resolver, superando lo spazio di memoria allocato dal componente e portando all’esecuzione del codice potenzialmente pericoloso.
Sfruttare il bug non è facile, visto che oltre a far scattare il buffer overflow in glibc sarebbe necessario bypassare meccanismi di difesa aggiuntivi come ASLR e firewall avanzati, ma è in ogni caso possibile: in teoria basterebbe ricevere una email contenente un link a un dominio malevolo per compromettere il sistema, rubare dati sensibili, installare malware, aprire backdoor e via elencando.
Weimer e O ‘ Donell sono da tempo al lavoro per correggere la falla, e ora anche i ricercatori di Google si sono associati per velocizzare i lavori di sviluppo della patch. In attesa dell’update, admin e sviluppatori possono servirsi di fattori di mitigazione specifici come la limitazione delle risposte DNS a 1024 byte per tenere il sistema al sicuro. Il codice proof-of-concept è già in circolazione, in ogni caso.
Alfonso Maruccia