Sikkerhetsforskere ved Google og Red Hat har uavhengig av hverandre oppdaget en alvorlig sårbarhet i glibc-biblioteket som i alle fall brukes av mange Linux-baserte systemer. Selskapene skal ha samarbeidet med hverandre etter at de ble klar over hverandres oppdagelser.
GNU C Library, eller glibc, tilbyr svært mye sentral funksjonalitet, inkludert standard C-bibliotekene og andre biblioteker som Linux-baserte systemer er helt avhengige av.
DNS
Sårbarhetene som har blitt funnet, finnes i DNS-klientfunksjonaliteten (Domain Name System) som tilbys av libresolv, som er inkludert i glibc.
Det dreier seg om en stakkbasert buffer-overflytsfeil når bibliotekfunksjonen getaddrinfo() benyttes. Programvare som bruker denne funksjonen kan utnyttes i angrep blant annet ved hjelp av domenenavn eller DNS-servere som kontrolleres av angriperen.
Potensielt vil angriperen da kunne kjøre vilkårlig kode med de samme tillatelser som brukeren som kjører biblioteket.
Ifølge Google avhenger utnyttelse av sårbarheten av at TCP- eller UDP-svarene på DNS-spørringer er for store, mer 2048 bytes. Angrepsforsøk kan hindres dersom man lokalt på systemet kan sette en grense for hvor store DNS-responser som aksepteres, eller kun å bruke DNS-servere som begrenser responsstørrelsen.
Sårbarheten ble innført med versjon 2.9 av glibc, som kom i 2008. Patcher og sikkerhetsoppdateringer har begynt å bli tilgjengelige for enkelte produkter.
Google har også utgitt et konseptbevis som ikke inneholder reell angrepskode.
Rammer bredt
Sårbarheten kan i teorien berøre alt fra nettverksutstyr til superdatamaskiner. Det finnes Linux-baserte enheter i de fleste produktkategorier.
Et områder hvor sårbarheten virkelig kunne ha gjort skade, er i Android, siden så mange bruker enheter som nok aldri vil bli oppdatert av leverandøren.
Men til Ars Technica opplyser Google at Android ikke benytter glibc, men i stedet bruker et alternativt bibliotek som heter Bionic. Dette skal ikke være berørt av sårbarheten.
Også rutere, spesielt slike som brukes av privatpersoner, kan potensielt være ekstra utsatt dersom brukerne ikke husker å oppdatere fastvaren jevnlig. Slike enheter er ofte Linux-baserte, men skal angivelig sjelden benytte glibc.
Også for et drøyt år siden ble det oppdaget en alvorlig sårbarhet i glibc. Den ble kalt for GHOST, men berørte ikke så mange systemer fordi forutsetningen for sårbarheten allerede var blitt fjernet hos mange allerede før sårbarheten ble oppdaget.
