Glibc Linux akatsak milaka software eta gailu utzi ditzake …

Glibc Linux akatsak milaka software eta gailu arriskuan utzi ditzake

Linux Glibc akatsak milioika erabiltzaile arriskuan utzi ditzake software eta gailu ahulengatik

Segurtasuneko ikertzaileek akats potentzialki katastrofikoa aurkitu dute Interneten oinarrizko eraikinetako batean, ehunka edo milaka aplikazio eta hardware gailuren aurrean erasoak jasan ditzaketen erasoei kalte egiteko gai direnak.

Ikertzaileen arabera, ahultasuna 2008tik dago GNU C liburutegian sartu zenetik. GNU C Liburutegia iturri irekiko kodea da, milaka aplikazio, software botatzeko eta Linux distros gehienetan erabiltzen dena. Akatsak etxeko routerrak eta Interneteko Gauzetako beste gaiak (IoT) gailuek ere erasoen aurrean ahultzen dituzte.

Ars Technicak dio domeinu izenen bilaketa egiten duen getaddrinfo () izenarekin ezagutzen den funtzio batek buffer gainezkako akats bat duela, erasotzaileei urruti kode maltzurra exekutatzea ahalbidetzen diela. Gailu edo aplikazio ahulak kontsultatzen dituzten erasotzaileek domeinu izenekin edo domeinu izenen zerbitzariarekin egiten dituzten kontsultak egiten dituztenean edo gizakiak erdi-erdiko erasoak jasan ditzakeenean, aurkariak gailuen eta kontrolatzen dituen datuak kontrolatzeko eta manipulatzeko gaitasuna du. gailu ahul eta Internet irekia. Glibc bertsio guztiak ondoren 2.9 ahulak dira.

Glibc dev taldeak ahultasunarekin lotzen duen eguneratze bat kaleratu du. Domeinu izenen bilaketa egiten duen edozein software edo hardwarea adabaki lehenbailehen instalatu behar dela eskatu du.

Hala ere, akatsaren izaera dela eta, oso zaila da jakitea arazoa zenbateraino den larria eta zenbat gailuren eragina izan dezakeen.

“Jende asko ari da korrika egiten saiatzeko, hau benetan katastrofikoa den edo bala bat bota dugun ala ez”, esan du Alan Woodward irakasleak, Surreyko Unibertsitateko segurtasun batek.

Adabaki bat askatu arren, goian esan bezala, glibc bugak milaka gailu nomada, hala nola etxeko bideratzaile merkeak ahulak utzi ditzake. Glibc-en bertsio ahul batekin konpilatutako zenbait aplikazio liburutegiaren bertsio eguneratuarekin konpilatu beharko dira, erabiltzaileek hardware-fabrikatzaileen eta aplikazioen garatzaileen eskuragarri egoteko itxaroten duten bitartean.

Aurkikuntza azaltzen duen blog batean, Google-ko taldeak zehatz deskribatu du nola erabili daitekeen akats bat gailu batzuetara urruneko sarbidea ahalbidetzeko modua (ordenagailua, Interneteko bideratzailea edo konektatutako beste ekipamendu bat).

Kodea sareko “eraikuntza-blokeak” deituriko askoren barruan ere egon daiteke – PHP eta Python bezalako programazio-lengoaiak kaltetuta daude, baita guneetara sartzeko edo posta elektronikoa sartzeko erabiltzen diren sistemak ere.

Eguneratzeko moduan dagoen orok lehenbailehen egin behar du. Google-ren blog-mezuak jarraitu du:

Google-k ustiapena ekiditen lagun dezaketen neurri batzuk aurkitu ditu, ezin baduzu zure glibc-aren instantzia berehala pegatu. Zaurgarritasuna neurriz gaineko (2048+ byte) UDP edo TCP erantzun batean oinarritzen da, eta hori pila gainidazten duen beste erantzun baten ondoren dago. Gure iradokizuna arintzea, erantzunak lokalean onartutako neurriak (hau da, DNSMasq edo antzeko programen bidez) mugatzea da, baita DNS kontsultak UDP erantzunen ebaketa tamaina mugatzen duten DNS zerbitzariak soilik bidaltzen direla ziurtatzea ere. multzoa.

Bitartean, Glibc-eko arduradunek arintze xehetasun osagarriak eskaintzen zituzten:

UDPren faktore arigarriak honako hauek dira:
– UDP DNS paketeak> 512 byte botatzen dituen suebaki bat.
– Lokal ebazlea (betetzen ez diren erantzunak botatzen dituena).
– A A dual eta AAAA kontsultak saihestu (bufferra kudeatzeko akatsak ekiditen ditu).
Ez erabili AF_UNSPEC.
– EDNS0-k baimentzen duenetik ez da `aukera edns0`-en erabili /etc/resolv.conf-en
512 byte baino handiagoak diren erantzunak eta baliozko DNS erantzunak ekar ditzakete
gainezka hori.
– Ez dute `RES_USE_EDNS0` edo` RES_USE_DNSSEC` erabili biek izan baitute
gainezka egin dezaketen EDNS0 oinarritutako DNS erantzun handiak lortzeko.

TCPren faktore arigarriak honako hauek dira:
– Mugatu erantzun guztiak 1024 bytera.

Funtzionatzen ez duten murrizketak:
– `Aukerak eskaera bakarreko ‘ezarpenak ez du bufferraren kudeaketa aldatzen
eta ez du eragotziko.
– `Aukera bakarrari berriro irekitzeko aukerak ‘ezarzeak ez du bufferra aldatzen
kudeaketa eta ez du eragotziko.
– IPv6 ezgaitzeak ez ditu AAAA kontsultak desgaitzen. AF_UNSPEC erabiltzea
baldintzarik gabe gaitzen du kontsulta bikoitza.
– `sysctl -w net.ipv6.conf.all.disable_ipv6 = erabiltzea1`ez
babestu zure ustiapenetik.
– IPv6 tokiko edo tarteko ebazpen batean IPv6 blokeatzeak ez du funtzionatzen
ustiatzea galarazi. Ustiapen karga A edo EAN entregatu daiteke
AAAAren emaitzak dira bufferra pizten duen kontsulta paraleloan
kudeaketa akatsa.

Zaurgarritasuna Shellshock-ekin konparatzen ari da, 2014an aurkitutako akatsak eta horrek gailu informatiko sorta izugarrian eragina izan zuen. Red Hat-eko funtzionarioek informazio gehiago dute hemen.