CVE-2015-0235 – vulnerabilité « GHOST »

janvier 28, 2015

Une faille de sécurité hautement critique dénommée GHOST vient d’être découverte dans la librairie linux « 

Concrètement ? Cette faille a été découverte par la société Qualys lors d’un audit de code. L’audit a mis en évidence la possibilité d’un buffer overflow sur la fonction __nss_hostname_digits_dots() de la librairie C glibc. Cette faille est réalisable aussi bien localement qu’a distance via la fonction gethostbyname*(). Par le biais des fonctions gethostbyname() ou encore gethostbyname2(), le débordement de tampon est situé dans la pile, et via la fonction gethostbyname_r() ou gethostbyname2_r() le buffer peut cette fois être situé, dans la pile, mai aussi le stack, le .data.. (OEP nous voila !)

L’impact ? La liste des applications vulnérables fait froid dans le dos l’appel a la fonction gethostbyname() étant particulièrement utilisée (résolution dns) : Apache, Exim, SSH, Sendmail, Nginx, MySQL, CUPS, Samba..et j’en passe et des meilleurs … D’où son niveau de criticité particulièrement élevé. Mais la ou les choses sont étonnante c’est que cette faille ne semble pas daté d’hier (littéralement). L’audit de Qualys a découvert que la première version faillible de la librairie C GNU était glibc-2.2, datant de novembre 2000! (oui vous avez bien lu), cependant entre glibc-2.17 et glibc 2.18 (Mai 2013)  la vulnérabilité aurait été corrigé., mais n’aurait pas ete identifié comme faille de sécurité, de ce fait les distribution linux stable et LTS (long time support) sont donc restées exposées (et le sont toujours) (Debian 7 wheezy, Red Hat Enterprise Linux 6 & 7, CentOS 6 & 7,   Ubuntu 12.04 …)

Les ‘grandes’ distributions ont corrigé le tir le jour même par l’application d’une mise a jour corrigeant la librairie Name Service Switch. Afin de connaitre les services vulnérable sur vos équipements vous pouvez tout simplement taper un petit :

Certains d’entre vous vont frôler la crise cardiaque rien qu’en découvrant l’ENORME liste de services utilisant la librairie glibc :). Rassurez vous, le classique :

vous rendrons le sourire rapidement… malheureusement vos services étant entrain de tourner vous aller être obligé de tous les redémarrer. :)  N’y coupez pas, vous allez devoir rebooter vos serveurs. En attendant ce moment fatidique, pensez simplement à redémarrer les services frontaux (apache..)

Qualys nous a gentillement fourni quelques lignes de code afin de vérifier la vulnérabilité de notre système  :

 

ghost_faille

Ma kali est vulnérable :/

Je vous vivement invite à lire l’excellente l’analyse complète de la faille ghost directement sur openwall !

Bonne mise a jour à tous.