GHOST-sårbarheten finnes et bibliotek som blant annet brukes av alle GNU/Linux-distribusjoner, men ikke alle er likevel berørt av sårbarheten. (Foto: PantherMedia/Sergey Nivens og Qualys)

Mange berørt av bibliotek-sårbarhet

Men sikkerhetsfiksen til «GHOST» har egentlig vært tilgjengelig lenge.

I går kunngjorde sikkerhetsselskapet Qualys oppdagelsen av en kritisk sårbarhet i GNU C Library (glibc), et bibliotek som benyttes i svært mye programvare, både til Linux og andre operativsystemer. Sårbarheten skyldes en buffer-overflytsfeil i funksjonen __nss_hostname_digits_dots(). Sårbarheten er tilgjengelig både lokalt og via nettverk via gethostbyname*()-funksjonene i biblioteket og har fått navnet «GHOST», en forkortelse av «gethost*»-navnet.

Qualys har studert sårbarheten nærmere og utviklet et fungerende konseptbevis som via e-postserveren Exim omgå all beskyttelsestiltak på både 32- og 64-bits systemer. Selskapet vil utgi angrepskoden som en modul til Metasploit i nær framtid.

Ifølge sikkerhetsvarselet fra Qualys skal sårbarheten ha blitt innført glibc i versjon 2.2, som ble utgitt den 10. november 2000.

Kom i 2013

Det spesielle med dette tilfellet, er at en sikkerhetsfiks har vært tilgjengelig siden 21. mai 2013, da glibc-2.18 ble utgitt. Problemet er bare at feilen ikke har blitt ansett som en sikkerhetstrussel før nå, noe som innebærer at flere av de stabile Linux-distribusjonene med langsiktig support, for eksempel Debian 7 (wheezy), Red Hat Enterprise Linux 6 & 7, CentOS 6 & 7, samt Ubuntu 12.04, ikke har blitt oppdatert.

Mange av de mer ordinære Linux-distribusjonene har derimot blitt oppdatert for lenge siden.

Den offisielle avsløringen av sårbarheten skjedde samtidig som at de berørte distributørene skal ha kommet med sikkerhetsfikser. Men ifølge Qualys skal noe informasjon om sårbarheten ha lukket ut noen timer i forveien.

Mislyktes
I en senere melding opplyser Qualys at selskapet har forsøkt å utnytte sårbarheten via mye annen utbredt programvare, inkludert Apache, Dovecot, MySQL, nginx, Samba og Sendmail. Men selskapet har ikke lykkes i å utløse overflytsfeilen via disse.

Mer informasjon om sårbarheten finnes her.

Omstart?

Fordi Qualys planlegger å utgi sårbarheten så snart selskapet mener at minst halvparten av de berørte maskinene har blitt patchet, bør man installere sikkerhetsoppdateringen så snart som mulig.

Det er dog ikke nok å installere oppdateringen. Alle kjørende prosesser som benytter biblioteket må restartes. For mange vil det enkleste og sikreste være å restarte hele systemet. Digi.no kjenner til at minst ett norsk webhotell varslet kundene om en omstart av maskinparken i natt.

Til toppen