GHOST: Una nueva vulnerabilidad en Linux
03-2015 GHOST: Una nueva vulnerabilidad en Linux Nuevamente el mundo del código abierto ha sido golpeado por un problema de seguridad importante: GHOST, un agujero de seguridad en la biblioteca glibc Linux. Gracias a un equipo de investigadores de Redwood Shores, empresa de seguridad en California, se ha descubierto en la biblioteca GNU C -Linuxuna vulnerabilidad crítica que permite ejecutar código malicioso, de forma remota, en servidores. Dado este grave fallo de seguridad, un atacante puede tomar el control de un computador con Sistema Operativo Linux con facilidad. Al fallo de seguridad que nos ocupa en estas líneas se le ha sido asignado el código CVE-2015-0235 y es conocido como “Ghost”. Según los investigadores de Redwood Shores, este problema que afecta a gran parte de las distribuciones Linux y alcanza la gravedad de Heartbleed (Boletín 02-2014). Esta vulnerabilidad reside en el las funciones gethostbyname de la biblioteca glibc. Para los que no lo saben, glibc es el nombre con el que se conocen a las librerías GNU de C con la que se compilan la mayoría de los sistemas Linux y muchos programas de software libre. Específicamente las funciones gethostbyname se utilizan para resolver los nombres de dominio en direcciones IP, y son ampliamente utilizadas en aplicaciones de código abierto; Ghost afecta a las versiones glibc desde su versión glibc2.2, que fue lanzado de forma pública en el año 2000. El principal problema está en que también afecta a Apache, Exim, Sendmail, Nginx, MySQL, TAZAS, Samba y muchos otros tipos de software diferentes utilizados por los servidores de Internet. Por lo tanto, un atacante puede poner en riesgo la estabilidad de un portal web, debido a que este fallo de seguridad le permite ejecutar líneas de código de forma remota, sin conocer las credenciales de acceso del administrador, y sin que pueda detectarse un comportamiento anómalo en el registro del servidor. Afortunadamente, el riesgo real parece no ser tan grande debido a que el error fue corregido en mayo de 2013, lo que significa que cualquier servidor Linux o PC con las versiones más recientes del software están a salvo de los ataques. Adicionalmente, las funciones gethostbyname fueron sustituidas por otras más nuevas que pueden manejar mejor los entornos de red modernos, ya que incluyen soporte para IPv6, entre otras novedades. Como resultado, las aplicaciones más nuevas a menudo ya no utilizan las funciones gethostbyname y no están en riesgo. Y quizás lo más importante, no hay actualmente alguna forma conocida de ejecutar ataques GHOST a través de la Web. Esto reduce en gran medida las posibilidades de utilizar esta vulnerabilidad para robar los datos de los usuarios desprevenidos o de causar estragos realmente serios. @vencert VenCERT Oficial Team VenCERT http://www.vencert.gob.ve/ 0800-VenCERT (8362378) - [email protected] 03-2015 GHOST: Una nueva vulnerabilidad en Linux ¿Cómo saber si GHOST puede afectar tu servidor o PC Linux Debian, Ubuntu y Canaima? Para verificar sólo hay que abrir un terminal e ingresar el siguiente comando: Debería arrojar algo similar a esto: Para estar a salvo, la versión de glibc debe ser superior a 2.17. En el ejemplo, la 2.13 está instalada. Sólo hace falta ejecutar los siguientes comandos (o los equivalentes en tu distribución): Para Canaima 4.1 debemos colocar en la lista de los repositorio /etc/apt/sources.list la siguiente línea: http://ftp.fr.debian.org/debian/ testing main contrib non-free Se actualizan los paquetes Y luego se instala solamente el paquete libc6 En cualquiera de los dos (02) después de la actualización es necesario reiniciar la PC con el siguiente comando: Finalmente, hay que ejecutar ldd una vez más para comprobar la versión de gblic. Nota: solo se realizó la comprobación de esta actualización del parche en Canaima 4.1 Fuentes: http://www.adslzone.net/2015/01/28/ghost-linux-seguridad-internet-hearbleed/ http://blog.desdelinux.net/ghost-otro-fallo-de-seguridad-golpea-a-linux/ . @vencert VenCERT Oficial Team VenCERT http://www.vencert.gob.ve/ 0800-VenCERT (8362378) - [email protected]
© Copyright 2024