Image
22.2.2016 3 Comments

Kritická chyba ohrozuje tisíce linuxových aplikácií a takmer všetky distribúcie Linuxu

Kritická chyba bola objavená v GNU C Library (glibc), čo je kľúčový prvok väčšiny linuxových distribúcií. Jej vinou sú takmer všetky linuxové stroje, tisícky aplikácií a zariadení zraniteľné hackermi, ktorí môžu prevziať úplnú kontrolu nad nimi.

Jednoduché kliknutie na odkaz alebo pripojenie k serveru môže viesť k vzdialenému spusteniu kódu (remote code execution – RCE), čo umožní hackerom ukradnúť prihlasovacie údaje, špehovať používateľa, získať kontrolu nad počítačom a pod.

Zraniteľnosť je podobná minuloročnej chybe GHOST (CVE-2015-0235), ktorá vystavila množstvo zariadení hrozbe útokov RCE. GNU C Library (glibc) je štandardná knižnica jazyka C predovšetkým v linuxových systémoch. Chyba bola indexovaná ako CVE-2015-7547 a spustí sa, keď funkcia knižnice getaddrinfo(), ktorá má na starosti preklad doménového mena DNS na IP adresu, vykonáva vyhľadávanie doménového mena. Určité doménové meno môže pri preklade  spôsobiť pretečenie zásobníka (buffer overflow), čo umožňuje hackerom vzdialene spustiť škodlivý kód.

Zraniteľné sú všetky verzie glibc až po 2.9. V ohrození je akýkoľvek softvér alebo aplikácia, ktorá sa pripája k sieti alebo internetu a používa glibc. Ide prakticky o všetky distribúcie Linuxu, programovacie jazyky Python, PHP a Ruby on Rails a mnoho ďalších, ktoré používajú linuxový kód na vyhľadávanie číselnej IP adresy internetovej domény.  Chyba sa údajne týka aj väčšiny softvéru súvisiaceho s bitcoinom a populárnych programov wget, curl, sudo.

No je tu dobrá správa pre používateľov Androidu: mobilný operačný systém Googlu nie je náchylný na túto chybu, pretože spoločnosť používa náhradu glibc pod názvom Bionic, ktorej sa podľa zástupcu Googlu chyba netýka. Nie sú ovplyvnené ani embedded zariadenia vrátane domácich smerovačov či rôzne gadgety, ktoré namiesto glibc používajú odľahčenú knižnicu uclibc.

Táto chyba zabezpečenia bola do glibc vnesená v máji 2008. Zraniteľnosť objavili nezávisle výskumníci z Googlu a Red Hat. Tí potom v spolupráci vydali aj patch, ktorý opravuje chyby v programovaní. Teraz však je na komunite okolo OS Linux a výrobcoch zariadení, aby čo najskôr sprístupnili opravy pre svoj softvér obsahujúci túto chybu.

Pre prevádzkovateľov serverov bude oprava otázkou bežného stiahnutia a inštalácie upgradu. No ostatní používatelia to zrejme nebudú mať také jednoduché. Aplikácie s ohrozenou verziou glibc by totiž mali byť rekompilované s aktualizovanou verziou, čo je proces, ktorý bude nejaký čas trvať. Používatelia postihnutých aplikácií teda musia čakať, kým budú k dispozícii aktualizácie od vývojárov.

Autor: Redakcia

Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Bezpečnosť

Hacking kreditky za šesť sekúnd. Zločinci môžu bez problémov získať všetky údaje o platobnej karte

08.12.2016 00:13

Vedci z Newcastle University prišli na spôsob, ako môžu zločinci za menej ako 6 sekúnd zistiť číslo, dátum platnosti a bezpečnostný kód na kreditnej alebo debetnej karte Visa. Je to vraj „nebezpečne ľ ...

Bezpečnosť

Čísla kreditiek už nelákajú. Kyberzločinci sa zameriavajú na lekárske záznamy, čísla sociálneho zabezpečenia a útoky DDoS.

07.12.2016 00:12

V dnešnej modernej a čoraz viac prepojenej dobe sú dáta používateľov, korporácií či štátnych inštitúcií pod neustále rastúcim tlakom. Tieto dáta predstavujú poklad v rukách kyberkriminálnikov a  trend ...

Bezpečnosť 2

Ovplyvnilo Rusko americké prezidentské voľby? Podľa expertov boli niektoré hlasovacie prístroje infikované

06.12.2016 00:16

Podľa kyberbezpečnostnej firmy FireEye ruská vláda počas kampane pred americkými prezidentskými voľbami nielen vykonávala hackerské útoky, ale využívala aj sociálne siete na ovplyvňovanie názorov. Šír ...

3 Comments

  1. Amatérsky článok reakcia na: Kritická chyba ohrozuje tisíce linuxových aplikácií a takmer všetky distribúcie Linuxu
    22.2.2016 09:02
    Vážený pán redaktor, chyba sa síce objavila v tom máte pravdu, ale ak by ste si dal aspoň trošku námahy s overením faktov, zistil by ste že verzia glibc 2.9 v ktorej bola chyba opravená bola vydaná 13.11.2008 https://sourceware.org/glibc/wiki/Glibc%20Timeline . Takže v reále tu robíte kačicu z chyby ktorá je odstránená už 7 rokov. Všetci čitatelia sú vám určite vďačný za vašu profesionálnu prácu.
    Reagovať
    • RE: Amatérsky článok reakcia na: Amatérsky článok
      22.2.2016 15:02
      http://www.ubuntu.com/usn/usn-2900-1/ A security issue affects these releases of Ubuntu and its derivatives: Ubuntu 15.10 Ubuntu 14.04 LTS Ubuntu 12.04 LTS
      Reagovať
  2. root.cz reakcia na: Kritická chyba ohrozuje tisíce linuxových aplikácií a takmer všetky distribúcie Linuxu
    22.2.2016 08:02
    Serioznejší popis chyby bez tupého bulvárneho nadpisu. http://www.root.cz/clanky/postrehy-z-bezpecnosti-kriticka-chyba-postihujici-linuxove-systemy/
    Reagovať

Vyhľadávanie

Kyocera - prve-zariadenia-formatu-a4-s-vykonom-a3

Najnovšie videá