Ghost je nedávno objevená chyba, která ohrožuje zvláště linuxové distribuce Centos/RHEL/Fedora 5, 6, 7 a Ubuntu 12.04. Je zde však možnost, že i další. Nebezpečí je v přetečení vyrovnávací paměti (buffer overflow), kterého se dosáhne vhodně upraveným řetězcem ve funkcích gethostbyname() a gethostbyname2(). Ty jsou součástí knihovny GNU C Library (glibc). Zjednodušeně řečeno, útočník může spustit v neaktualizovaném systému různé aplikace.
Problém samozřejmě musí řešit správce serveru, popřípadě váš poskytovatel webhostingu.
Odborníci z firmy Securi, se domnívají, že by mohl útok proběhnout i přes instalaci WordPress, protože ta funkci gethostbyname() využívá. Konkrétně se jedná o WordPress funkci wp_http_validate_url(), která má na starosti ověřování adresy u pingback (XML-RPC pingbacks). Čehož může využít útočník, když zašle patřičně upravený řetězec. Cílem tak bude například upravení oprávnění na serveru.
Ačkoliv se o zranitelnosti ví a dokonce byl demonstrován úspěšný útok na Exim mail server, jsou odborníci k zneužití velice skeptičtí. Zneužití této bezpečnostní díry je poměrně náročné a v cestě útočníka stojí překážky. Na druhou stranu podle zkušeností s obdobnými případy, nebezpečnost situace roste s časem. Hackeři jsou totiž velice vynalézaví a dříve či později nějaké efektivní řešení najdou. Platí tedy, že by zranitelné instalace Linuxu měli být co nejdříve aktualizovány, zvláště pokud na nich jedou aplikace, které funkce gethostbyname() a gethostbyname2() využívají.
Potenciálními cíli jsou mailservery, DNS lookup služby a jejich obdoba, MySQL servery, které si ověřují autentizaci na základě hostname a SSH servery, které provádí DNS lookup na autentizaci allow/deny pravidel.
Problém se týká pouze serverových administrátorů. Pokud máte běžný webhosting nemusíte se bát, o aktualizaci a zabezpečení se starají technici poskytovatele, kteří jsou určitě s touto zranitelností jjiž obeznámeni. Jestli však máte VPS anebo dedikovaný server je třeba brát bezpečnostní hrozbu Ghost vážně a přijmout patřičná opatření. V současné době jsou už připraveny záplaty pro Red Hat Enterprise Linux 5, 6, 7, CentOS 5, 6, 7 a Ubuntu 12.04. Takže aktualizujte a nenechejte nic náhodě.
Aktualizace: Zapoměl jsem na Debian, který je také zranitelný přes Ghost. Více informací v CVE-2015-0235.
Tento článek byl byl přečten 2538 krát