Investigadores
del equipo de seguridad de Google y Red Hat han descubierto una vulnerabilidad
crítica que afecta a glibc, catalogada de Importancia: 5 - Crítica
Recursos
afectados
- Cualquier sistema que utilice glibc desde versión 2.9 (introducida en mayo de 2008) es potencialmente vulnerable.
Detalle
e Impacto de la vulnerabilidad
- Glibc es la adaptación por parte de GNU del estándar POSIX de la librería estándar de C. Por lo tanto, se encuentra presente y se utiliza en múltiples sistemas basados en UNIX y aplicaciones de los mismos
- La vulnerabilidad se encuentra en las operaciones que realiza la librería glibc para obtener resoluciones DNS a través de getaddrinfo(). Consiste en un desbordamiento de búfer al tratar respuestas DNS con tamaño superior a 2048 bytes, lo que permitiría tomar el control de la ejecución con los privilegios del usuario relacionado. Esto afecta a múltiples aplicaciones que utilizan esta función como ssh, sudo, curl, wget, etc.
- El CVE asociado a esta vulnerabilidad es CVE-2015-7547.
Recomendación
- Se ha generado un parche por parte del equipo que mantiene glibc para corregir la vulnerabilidad. Es necesario aplicar la actualización correspondiente según el sistema afectado.
- Fruto de la colaboración de los técnicos de Google y Red Hat se ha podido investigar el problema, desarrollar un parche y realizar todos los test de regresión. Aunque se destaca el trabajo realizado principalmente por el equipo de la distribución de Linux.
- El parche publicado está disponible desde https://sourceware.org/ml/libc-alpha/2016-02/msg00416.html
- Algunos fabricantes proporcionan información específica y parches:
- Debian: http://www.debian.org/security/2016/dsa-3481
- Ubuntu: http://www.ubuntu.com/usn/usn-2900-1/
- Gentoo: https://bugs.gentoo.org/show_bug.cgi?id=574880
- Red Hat: https://rhn.redhat.com/errata/RHSA-2016-0225.htmly https://rhn.redhat.com/errata/RHSA-2016-0176.html
Alternativamente en caso de que el sistema no cuente con una adaptación del parche, se recomienda utilizar un firewall para limitar paquetes DNS a 512 bytes (UDP) o 1024 bytes (TCP).
Más información
- CVE-2015-7547: glibc getaddrinfo stack-based buffer overflow
- Red Hat: Critical security flaw: glibc stack-based buffer overflow in getaddrinfo() (CVE-2015-7547)
- [PATCH] CVE-2015-7547 --- glibc getaddrinfo() stack-based buffer overflow
- Extremely severe bug leaves dizzying number of software and devices vulnerable
Fuente: INCIBE