CVE-2015-0235：Linux Glibc幽灵漏洞允许黑客远程获取系统权限

2015年1月30日 3262点热度 0人点赞 0条评论

幽灵漏洞是Linux glibc库上出现的一个严重的安全问题，他可以让攻击者在不了解系统的任何情况下远程获取操作系统的控制权限。目前他的CVE编号为CVE-2015-0235。

什么是glibc

glibc是GNU发布的libc库，即c运行库。glibc是linux系统中最底层的api，几乎其它任何运行库都会依赖于glibc。 glibc除了封装linux操作系统所提供的系统服务外，它本身也提供了许多其它一些必要功能服务的实现。glibc 囊括了几乎所有的 UNIX 通行的标准。

出现了什么漏洞

代码审计公司Qualys的研究人员在glibc库中的__nss_hostname_digits_dots()函数中发现了一个缓冲区溢出的漏洞，这个bug可以经过 gethostbyname*()函数被本地或者远程的触发。应用程序主要使用gethostbyname*()函数发起DNS 请求，这个函数会将主机名称转换为ip地址。更多的细节可以从下面的视频中看到。

漏洞危害

这个漏洞造成了远程代码执行，攻击者可以利用此漏洞获取系统的完全控制权。

漏洞证明

在我们的测试中，我们编写了一个POC，当我们发送一封精心构造的电子邮件给服务器后，我们便可以获得远程Linux服务器的shell，这绕过了目前在32位和64位系统的所有保护（如ASLR，PIE和NX）。

我们能做什么？

给操作系统及时打补丁，我们（Qualys）已与Linux发行商紧密合作，会及时发布补丁。

为什么叫做GHOST？

因为他通过GetHOST函数触发。

哪些版本和操作系统受影响？

第一个受影响的版本是GNU C库的glibc-2.2，2000年11月10号发布。我们已找出多种可以减轻漏洞的方式。我们发现他在2013年5月21号（在glibc-2.17 和glibc-2.18发布之间）已经修复。不幸的是他们不认为这是个安全漏洞。从而导致许多稳定版本和长期版本暴露在外，其中包括Debian 7 (wheezy)，Red Hat Enterprise，Linux 6 & 7，CentOS 6 & 7，Ubuntu 12.04等

在哪里下载EXP?

我们希望每个人能有充分的时间去打补丁。根据我们的统计数据当漏洞达到半周期的时候我们会放出EXP。半周期是指超过一半的主机已打上补丁。这个周期展示出了漏洞修复的努力程度。一个较短的周期意味着更快速的修复努力。半周期概念由Qualys的漏洞准则提出。

Qualys的客户可以使用Qualys Vulnerability Management (VM)云解决方案来扫描和检测GHOST。Qualys的客户可以可以获得相应的报告。可以可视化得追踪和展示这次漏洞修复进程。

测试方法：gcc gistfile1.c -o CVE-2015-0235 ./CVE-2015-0235

#include <netdb.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <errno.h>
#define CANARY "in_the_coal_mine"
struct {
  char buffer[1024];
  char canary[sizeof(CANARY)];
} temp = { "buffer", CANARY };
int main(void) {
  struct hostent resbuf;
  struct hostent *result;
  int herrno;
  int retval;
  /*** strlen (name) = size_needed - sizeof (*host_addr) - sizeof (*h_addr_ptrs) - 1; ***/
  size_t len = sizeof(temp.buffer) - 16*sizeof(unsigned char) - 2*sizeof(char *) - 1;
  char name[sizeof(temp.buffer)];
  memset(name, '0', len);
  name[len] = '';
  retval = gethostbyname_r(name, &resbuf, temp.buffer, sizeof(temp.buffer), &result, &herrno);
  if (strcmp(temp.canary, CANARY) != 0) {
    puts("vulnerable");
    exit(EXIT_SUCCESS);
  }
  if (retval == ERANGE) {
    puts("not vulnerable");
    exit(EXIT_SUCCESS);
  }
  puts("should not happen");
  exit(EXIT_FAILURE);
}

#include <netdb.h>

#include <stdio.h>

#include <stdlib.h>

#include <string.h>

#include <errno.h>

#define CANARY "in_the_coal_mine"

struct {

char buffer[1024];

char canary[sizeof(CANARY)];

} temp = { "buffer", CANARY };

int main(void) {

struct hostent resbuf;

struct hostent *result;

int herrno;

int retval;

/*** strlen (name) = size_needed - sizeof (*host_addr) - sizeof (*h_addr_ptrs) - 1; ***/

size_t len = sizeof(temp.buffer) - 16*sizeof(unsigned char) - 2*sizeof(char *) - 1;

char name[sizeof(temp.buffer)];

memset(name, '0', len);

name[len] = '';

retval = gethostbyname_r(name, &resbuf, temp.buffer, sizeof(temp.buffer), &result, &herrno);

if (strcmp(temp.canary, CANARY) != 0) {

puts("vulnerable");

exit(EXIT_SUCCESS);

}

if (retval == ERANGE) {

puts("not vulnerable");

exit(EXIT_SUCCESS);

}

puts("should not happen");

exit(EXIT_FAILURE);

}

如果执行返回结果

not vulnerable

1	not vulnerable

为正常

下附redhat官方漏洞测试工具链接及源码：

GHOST-test.sh测试工具内容如下：

 #!/bin/bash
#Version 3

echo "Installed glibc version(s)"

rv=0
for glibc_nvr in $( rpm -q --qf '%{name}-%{version}-%{release}.%{arch}\n' glibc ); do
    glibc_ver=$( echo "$glibc_nvr" | awk -F- '{ print $2 }' )
    glibc_maj=$( echo "$glibc_ver" | awk -F. '{ print $1 }')
    glibc_min=$( echo "$glibc_ver" | awk -F. '{ print $2 }')
    
    echo -n "- $glibc_nvr: "
    if [ "$glibc_maj" -gt 2   -o  \
        \( "$glibc_maj" -eq 2  -a  "$glibc_min" -ge 18 \) ]; then
        # fixed upstream version
        echo 'not vulnerable'
    else
        # all RHEL updates include CVE in rpm %changelog
        if rpm -q --changelog "$glibc_nvr" | grep -q 'CVE-2015-0235'; then
            echo "not vulnerable"
        else
            echo "vulnerable"
            rv=1
        fi
    fi
done

if [ $rv -ne 0 ]; then
    cat <<EOF

This system is vulnerable to CVE-2015-0235. <https://access.redhat.com/security/cve/CVE-2015-0235>
Please refer to <https://access.redhat.com/articles/1332213> for remediation steps
EOF
fi

exit $rv

#!/bin/bash

#Version 3

echo "Installed glibc version(s)"

rv=0

for glibc_nvr in $( rpm -q --qf '%{name}-%{version}-%{release}.%{arch}\n' glibc ); do

glibc_ver=$( echo "$glibc_nvr" | awk -F- '{ print $2 }' )

glibc_maj=$( echo "$glibc_ver" | awk -F. '{ print $1 }')

glibc_min=$( echo "$glibc_ver" | awk -F. '{ print $2 }')

echo -n "- $glibc_nvr: "

if [ "$glibc_maj" -gt 2 -o \

$ "$glibc_maj" -eq 2 -a "$glibc_min" -ge 18 $ ]; then

# fixed upstream version

echo 'not vulnerable'

else

# all RHEL updates include CVE in rpm %changelog

if rpm -q --changelog "$glibc_nvr" | grep -q 'CVE-2015-0235'; then

echo "not vulnerable"

else

echo "vulnerable"

rv=1

done

if [ $rv -ne 0 ]; then

cat <<EOF

This system is vulnerable to CVE-2015-0235. <https://access.redhat.com/security/cve/CVE-2015-0235>

Please refer to <https://access.redhat.com/articles/1332213> for remediation steps

EOF

exit $rv

下载GHOST-test.sh

GHOST-test附件下载

https://access.redhat.com/labs/ghost/

redhat官方说明：

https://access.redhat.com/articles/1332213

修复方案

CentOS, Red Hat, Fedora等系列衍生版本(RHN建议):

yum install glibc*

1	yum install glibc*

Debian, Ubuntu等系列衍生版本:

apt-get clean && apt-get update && apt-get upgrade

1	apt-get clean && apt-get update && apt-get upgrade

再执行上面脚本进行测试，显示

not vulnerable

1	not vulnerable

为正常

注意：打好补丁后必须立即重启操作系统，否则会造成应用业务无法使用。

二〇一五年一月三十日 15:13:30

本作品采用知识共享署名 4.0 国际许可协议进行许可