Ошибка Glibc в Linux может поставить под угрозу тысячи программ и устройств

Ошибка Glibc в Linux может поставить миллионы пользователей под угрозу из-за уязвимого программного обеспечения и устройств

Исследователи безопасности обнаружили потенциально катастрофическую уязвимость в одном из основных строительных блоков Интернета, которая оставляет сотни или тысячи приложений и аппаратных устройств уязвимыми для атак, которые могут позволить потенциальным хакерам взять их под контроль.

Согласно исследователям, уязвимость существует с 2008 года, когда она была введена в библиотеку GNU C. Библиотека GNU C — это открытый исходный код, который используется для работы тысяч приложений, программного обеспечения и используется в большинстве дистрибутивов Linux. Ошибка также оставляет домашние маршрутизаторы и другие устройства Интернета вещей (IoT) уязвимыми для атак.

Ars Technica отмечает, что функция, известная как getaddrinfo(), которая выполняет запросы доменных имен, содержит ошибку переполнения буфера, которая позволяет злоумышленникам удаленно выполнять вредоносный код. Она может быть использована, когда уязвимые устройства или приложения делают запросы к доменным именам или серверам доменных имен, контролируемым злоумышленниками, или когда они подвержены атакам «человек посередине», когда противник имеет возможность контролировать и манипулировать данными, проходящими между уязвимым устройством и открытым Интернетом. Все версии glibc после 2.9 уязвимы.

Команда разработчиков glibc выпустила обновление, которое устраняет уязвимость. Она попросила, чтобы любое программное или аппаратное обеспечение, которое выполняет запросы доменных имен, установило патч как можно скорее.

Тем не менее, из-за природы ошибки крайне трудно понять, насколько серьезна проблема и сколько устройств могут быть ею затронуты.

«Многие люди сейчас пытаются выяснить, действительно ли это катастрофично или нам удалось избежать беды», — сказал профессор Алан Вудвард, эксперт по безопасности из Университета Суррея.

Несмотря на выпуск патча, как уже упоминалось, ошибка glibc может оставить тысячи мобильных устройств, таких как дешевые домашние маршрутизаторы, уязвимыми. Также некоторые приложения, которые были скомпилированы с уязвимой версией glibc, придется перекомпилировать с обновленной версией библиотеки, что займет время, пока пользователи ждут исправлений от производителей оборудования и разработчиков приложений.

В блоге, объясняющем открытие, команда Google подробно рассказала, как ошибка в некотором общепринятом коде может быть использована таким образом, чтобы обеспечить удаленный доступ к устройствам — будь то компьютер, интернет-роутер или другое подключенное оборудование.

Код также может находиться в многих так называемых «строительных блоках» веба — программные языки, такие как PHP и Python, также затронуты, а также системы, используемые при входе на сайты или доступе к электронной почте.

Каждый, кто может обновить, должен сделать это как можно скорее. Блог Google продолжил:

Google нашел некоторые меры, которые могут помочь предотвратить эксплуатацию, если вы не можете немедленно установить патч для вашей версии glibc. Уязвимость зависит от чрезмерного (2048+ байт) UDP или TCP ответа, за которым следует другой ответ, который перезаписывает стек. Наша предложенная мера — ограничить размеры ответов (т.е. через DNSMasq или аналогичные программы), принимаемых локальным DNS-резолвером, а также убедиться, что DNS-запросы отправляются только на DNS-серверы, которые ограничивают размер ответа для UDP-ответов с установленным битом обрезки.

Тем временем, поддержка Glibc предоставила следующие дополнительные детали по смягчению:

Факторы смягчения для UDP включают:
– Брандмауэр, который отбрасывает UDP DNS-пакеты > 512 байт.
– Локальный резолвер (который отбрасывает некорректные ответы).
– Избегайте двойных запросов A и AAAA (избегает ошибки управления буфером), например:
Не используйте AF_UNSPEC.
– Не используйте options edns0 в /etc/resolv.conf, так как EDNS0 позволяет
ответам превышать 512 байт и может привести к действительным DNS-ответам,
которые переполняют.
– Не используйте RES_USE_EDNS0 или RES_USE_DNSSEC, так как они оба
могут привести к действительным большим DNS-ответам на основе EDNS0, которые могут переполнять. Факторы смягчения для TCP включают:
– Ограничьте все ответы до 1024 байт. Меры, которые не работают:
– Установка options single-request не изменяет управление буфером
и не предотвращает эксплуатацию.
– Установка options single-request-reopen не изменяет управление буфером
и не предотвращает эксплуатацию.
– Отключение IPv6 не отключает запросы AAAA. Использование AF_UNSPEC
безусловно включает двойной запрос.
– Использование sysctl -w net.ipv6.conf.all.disable_ipv6=1 не
защитит вашу систему от эксплуатации.
– Блокировка IPv6 на локальном или промежуточном резолвере не работает для
предотвращения эксплуатации. Полезная нагрузка эксплуатации может быть доставлена в результатах A или
AAAA, именно параллельный запрос вызывает ошибку управления буфером.

Уязвимость сравнивают с Shellshock, ошибкой, обнаруженной в 2014 году, которая затронула широкий спектр вычислительных устройств.
Официальные лица Red Hat имеют больше информации здесь.