Лого vc.ru

Незваный Ghost: Насколько опасна новая критическая уязвимость Linux-серверов

Незваный Ghost: Насколько опасна новая критическая уязвимость Linux-серверов

27 января компания Qualys, специализирующаяся на ИТ-безопасности, опубликовала информацию об уязвимости Ghost, потенциально позволяющей злоумышленникам получить доступ к удалённому Linux-серверу. Степан Ильин, директор по продуктам Wallarm и экс-главред журнала «Хакер», попытался простыми словами объяснить, в чём суть проблемы и насколько она опасна для рунета.

Поделиться

Нынче уязвимостям модно давать названия и рисовать картинки. До этого были Heartbleed, Shellshock, Poodle — сегодняшнюю уязвимость, позволяющую удаленно захватить контроль над Linux-серверами, назвали GHOST. Стоит ли обращать на нее внимание?

# Без хардкора

В споре Windows vs. OS X мало кто вспоминает, что в качестве ОС для работы можно использовать Linux (хотя у любого программиста немало таких друзей) — но именно на этой операционке построена инфраструктура большинства интернет-компаний. Linux-сервера — везде. Что дает уязвимость GHOST? Вообще говоря, многое: удаленно захватить над ними контроль.

Хорошая новость в том, что компания Qualys, которая обнаружила и рассказала об уязвимости, не стала публиковать так называемый эксплоит. Для понимания: сама ошибка — это просто ошибка, даже самая опасная. Чтобы извлечь из ее толк, нужно знать, как ее эксплуатировать. Ну, или не знать — если утилиту для экплуатации (тот самый эксплоит) кто-то подготовил за тебя. Тогда можно просто взять скриптик, указать IP-адрес и получить доступ к командной строке, скажем, ЦП. К счастью, в публичном доступе эксплоита пока нет и массовый захват серверов отменяется.

Надо ли что-то делать? Рекомендация простая. Будучи серьезной компаний, Qualys заранее уведомила разработчиков дистрибутивов, а потому уже сейчас есть патчи. Если в вашей инфраструктуре используется Linux — убедитесь, что админ не забыл установить обновления (а он может!). Ну, чтобы вдруг с ваших серверов не пошла DDoS-атака или миллионами внезапно утекших в результате взлома учетных записей не заинтересовался Роскомнадзор.

# C хардкором (в строго лимитированной дозе)

Уязвимость была найдена в библиотеке GNU C Library (glibc) и срабатывает в результате переполнения буфера, при вызове функций gethostbyname() и gethostbyname2(). Собственно, название GHOST — это как раз игра слов от gethost. 

Примечательно, что в Linux есть механизмы, которые препятствуют экплуатации подобных уязвимостей (ASLR, PIE, NX). Однако парни из Qualys утверждают, что собрали proof-of-concept эксплоита, который обходит защитные механизмы на 32/64-битных системах. Выглядит это так: на уязвимый сервер отправляется письмо, которое обрабатывается почтовым сервером Exim — в этот момент и происходит срабатывание и удаленное выполнение кода.

Кусочек конспирологии (а как же без нее). Уязвимость в glibc была молча исправлена еще в мае 2013 года, но без всякого намека на всю серьезность ситуации. Поэтому новые версии дистрибутивов, которые используют более свежую glibc, не уязвимы. Зато бага отлично продолжает жить в дистрибутивах с длительной поддержкой (LTS), которые повсеместно используются в больших проектах. А это Debian 7 (wheezy), Red Hat Enterprise Linux 6 и 7, CentOS 6 и 7, Ubuntu 10.04 и 12.04, SUSE Linux Enterprise 10 и 11.

# Будут ли взломы?

Еще как будут! Пока крупные компании в огне сейчас обновляются, многие вспомнят об этом уже после инцидента. Вы даже не представляете, сколько проектов в рунете живет с прошлогодним и до сих пор не исправленным Heartbleed (это та самая уязвимость, через которую в прошлом году сграбили огромное количество паролей от различных сервисов и данных кредитных карт). И да, им всё равно.

Популярные статьи
Показать еще
Комментарии отсортированы
как обычно по времени по популярности

Ну, что это за статья такая? Одна вода.

" In particular, we discovered that it was fixed on May 21, 2013 (between the releases of glibc-2.17 and glibc-2.18)."
Проверить версию - ldd --version

нажевали, а не сплюнули... библиотека, а к чему эта библиотека? одно вижу, что то связанное с получением почты, значит должен стоять почтовый сервер? если он не стоит, то и беспокоиться не о чем???

0

Glibc это основополагающая runtime библиотека для великого множества приложений, exim выбран исключительно как вектор атаки, то есть транспорт полезной нагрузки, который получает сообщения из глобальной сети. Самая печалька это кроссплатформенность этой библиотеки, так что ждите.

0

те типа 14.04 убунту - все пучком - можно не волноваться?

0

Возможность комментирования статьи доступна только в первые две недели после публикации.

Сейчас обсуждают
Галина Соколова

При самостоятельной регистрации Вам нужно будет оплатить только пошлины. Для юрлиц это 4500 р., для физлиц - 3000 р. Торопитесь - ходят упорные слухи, что с 2017 года Роспатент значительно повышает пошлины.

Как самостоятельно запатентовать свое изобретение
0
Владимир Зарецкий

ну задумка задумкой всетаки решиться на такой шаг целый мир в голове перевернуть ... а начет пользовотелей зашел в АВИТО накопировал объяв и вставил к себе )))) а так удачи в нелегко пути ... ФИШКИ нет в этом проложении ... да и АВИТО задолбал уже ... затертый ИНТЕРФЕЙС до дыр ... тошнит уже от него ... а тут новые глазу проекции. в ОБЩЕМ ЖЕЛАЮ УДАЧИ!

DamProdam — сайт покупки-продажи подержанной техники
0
Гульнар Усманова

Вжух...!!! и никому это оказалось неинтересно вдруг))

«Вжух»: реакция российских компаний на мем с котом и волшебной палочкой
1
Гульнар Усманова

Там белый) и у многих других производителей, кстати, за цвет приходится доплачивать))

Tele2 выпустила рекламу в стиле презентации Apple и с намеком на Стива Джобса
0
Гульнар Усманова

Реклама огонь!!!

Tele2 выпустила рекламу в стиле презентации Apple и с намеком на Стива Джобса
0
Показать еще