{"id":2601,"date":"2015-01-28T14:53:09","date_gmt":"2015-01-28T17:53:09","guid":{"rendered":"https:\/\/www.talsoft-security.com\/site\/?p=2601"},"modified":"2015-01-28T14:53:09","modified_gmt":"2015-01-28T17:53:09","slug":"ghost-bug-critico-en-linux-con-14-anos-de-antiguedad","status":"publish","type":"post","link":"https:\/\/www.talsoft-security.com\/site\/ghost-bug-critico-en-linux-con-14-anos-de-antiguedad\/","title":{"rendered":"GHOST bug cr\u00edtico en Linux, con 14 a\u00f1os de antiguedad"},"content":{"rendered":"

Investigadores de la empresa de seguridad Qualys han descubierto un agujero de seguridad muy importante en la biblioteca de C de GNU Linux (glibc<\/i>). La vulnerabilidad ya tiene nombre y imagen relacionada: GHOST (proviene de GetHOST)<\/a>, ha sido identificado como CVE-2015-0235<\/a> y permite tomar el control de sistemas Linux remotamente, sin conocer datos de autenticaci\u00f3n como usuario y contrase\u00f1a. Aqu\u00ed se puede ver el video<\/a> publicado por la empresa.<\/p>\n

La gravedad de la vulnerabilidad es comparable Heartbleed<\/a> y Shellshock<\/a>. Qualys alert\u00f3 a los principales distribuidores de Linux sobre el agujero de seguridad y la mayor\u00eda ya han lanzado las actualizaciones correspondientes. Josh Bressers, manager<\/i> del equipo de seguridad de Red Hat dijo en una entrevista que “Red Hat fue avisado de esto hace una semana y ya est\u00e1n listas las actualizaciones para Red Hat Enterprise Linux (RHEL) 5, 6 y 7<\/a>“<\/i>.
\nThe GNU C Library, m\u00e1s conocida como glibc<\/i> es una implementaci\u00f3n de la biblioteca C y forma parte del n\u00facleo de Linux.<\/cite>
\nEste agujero existe en todos los Linux con glibc-2.2<\/i><\/a>, el cual fue lanzado el 10 de noviembre de 2000. Qualys encontr\u00f3 que el fallo hab\u00eda sido parcheado junto con una correcci\u00f3n menor entre los lanzamientos de glibc-2.17<\/i> y glibc-2.18<\/i> publicado 21 de mayo de 2013. Sin embargo, esta soluci\u00f3n no fue clasificada como un problema de seguridad, y como resultado, muchas distribuciones estables a\u00fan tienen el bug<\/i>.<\/p>\n

Las distribuciones susceptibles de ataque incluyen 7 Debian (Wheezy), RHEL 5, 6 y 7, CentOS 6 y 7 y Ubuntu 12.04. Adem\u00e1s de la soluci\u00f3n de Red Hat, Debian actualmente est\u00e1 reparando sus distribuciones<\/a>, <\/span>Ubuntu ha parcheado<\/span> el bug<\/i> para 12.04 y 10.04<\/a> y, los parches para CentOS est\u00e1n en camino.<\/p>\n

La vulnerabilidad puede ser explotada mediante el uso de la funci\u00f3n gethostbyname<\/i> de glibc<\/i><\/a>. Esta funci\u00f3n se utiliza en casi todos los Linux cuando una computadora intenta acceder a otro equipo conectado a la red o, m\u00e1s com\u00fanmente, al resolver un nombre de dominio mediante DNS.
\nPara aprovechar esta vulnerabilidad, un atacante necesita provocar un desbordamiento de b\u00fafer mediante el uso de un argumento “hostname”<\/i> no v\u00e1lido y entonces se permite ejecutar c\u00f3digo arbitrario con los permisos del usuario que est\u00e1 ejecutando DNS. En definitiva, una vez que el atacante ha explotado GHOST, es capaz de tomar el control del sistema.<\/p>\n

“GHOST plantea un riesgo alto porque hace que sea incre\u00edblemente f\u00e1cil tomar el control de un sistema. Por ejemplo, un atacante podr\u00eda enviar un simple correo electr\u00f3nico en un sistema basado en Linux y autom\u00e1ticamente obtener acceso completo a esa m\u00e1quina”<\/i>, dijo Wolfgang Kandek de Qualys. “Dado el gran n\u00famero de sistemas basados en <\/i>glibc<\/i>, creemos que esto es una vulnerabilidad de severidad alta y debe ser tratada inmediatamente. El mejor curso de acci\u00f3n para mitigar el riesgo es aplicar el parche brindado por el proveedor”.<\/p>\n

Qualys ha desarrollado una prueba de concepto<\/a> enviando un comando SMTP inv\u00e1lido al servidor de correo Exim<\/a>, en el cual simplemente env\u00edan un correo electr\u00f3nico creado especialmente y que permite ejecutar una shell<\/i> remota en el Linux. Seg\u00fan Qualys<\/a>, “esto ignora todas las protecciones existentes (como ASLR, PIE y NX) en sistemas de 32 bits y 64 bits”<\/i>.<\/p>\n

El consejo es actualizar Linux tan pronto como sea posible y reiniciar despu\u00e9s parcheo porque gethostbyname<\/i> es llamado por muchos procesos fundamentales, como Apache, Cups, Dovecot, Exim, GnuPG, isc-dhcp, lighttpd, mariadb\/mysql, nfs-utils, nginx, nodejs, openldap, openssh, postfix, proftpd, pure-ftpd, rsyslog, samba, sendmail, sysklogd, syslog-ng, tcp_wrappers, vsftpd, y xinetd<\/i>.<\/p>\n

Actualizaci\u00f3n:<\/b> Red Hat<\/a>, Debian,<\/a> Ubuntu<\/a> y Novell<\/a> han publicado los parches respectivos.<\/p>\n

M\u00e1s informaci\u00f3n:<\/b><\/p>\n