VULNERABILIDAD. Desbordamiento de búfer en la librería glibc de Linux

Investigadores del equipo de seguridad de Google y Red Hat han descubierto una vulnerabilidad crítica que afecta a glibc, catalogada de Importancia: 5 - Crítica

Recursos afectados

• Cualquier sistema que utilice glibc desde versión 2.9 (introducida en mayo de 2008) es potencialmente vulnerable.

Detalle e Impacto de la vulnerabilidad

• Glibc es la adaptación por parte de GNU del estándar POSIX de la librería estándar de C. Por lo tanto, se encuentra presente y se utiliza en múltiples sistemas basados en UNIX y aplicaciones de los mismos
• La vulnerabilidad se encuentra en las operaciones que realiza la librería glibc para obtener resoluciones DNS a través de getaddrinfo(). Consiste en un desbordamiento de búfer al tratar respuestas DNS con tamaño superior a 2048 bytes, lo que permitiría tomar el control de la ejecución con los privilegios del usuario relacionado. Esto afecta a múltiples aplicaciones que utilizan esta función como ssh, sudo, curl, wget, etc.
• El CVE asociado a esta vulnerabilidad es CVE-2015-7547.

Recomendación

• Se ha generado un parche por parte del equipo que mantiene glibc para corregir la vulnerabilidad. Es necesario aplicar la actualización correspondiente según el sistema afectado.
• Fruto de la colaboración de los técnicos de Google y Red Hat se ha podido investigar el problema, desarrollar un parche y realizar todos los test de regresión. Aunque se destaca el trabajo realizado principalmente por el equipo de la distribución de Linux.
• El parche publicado está disponible desde https://sourceware.org/ml/libc-alpha/2016-02/msg00416.html
• Algunos fabricantes proporcionan información específica y parches:

1. Debian: http://www.debian.org/security/2016/dsa-3481 
2. Ubuntu: http://www.ubuntu.com/usn/usn-2900-1/ 
3. Gentoo: https://bugs.gentoo.org/show_bug.cgi?id=574880 
4. Red Hat: https://rhn.redhat.com/errata/RHSA-2016-0225.html y https://rhn.redhat.com/errata/RHSA-2016-0176.html 

Alternativamente en caso de que el sistema no cuente con una adaptación del parche, se recomienda utilizar un firewall para limitar paquetes DNS a 512 bytes (UDP) o 1024 bytes (TCP).

Más información

• CVE-2015-7547: glibc getaddrinfo stack-based buffer overflow 
• Red Hat: Critical security flaw: glibc stack-based buffer overflow in getaddrinfo() (CVE-2015-7547) 
• [PATCH] CVE-2015-7547 --- glibc getaddrinfo() stack-based buffer overflow 
• Extremely severe bug leaves dizzying number of software and devices vulnerable 

Fuente: INCIBE