Tisíce linuxových programů i celé distribuce nejspíše trpí kritickou chybou

Tisíce linuxových programů i celé distribuce nejspíše trpí kritickou chybou

GNU C Library 2.9 a vyšší (glibc), standardní knihovna jazyka C především na linuxových systémech, trpí posledních osm let kritickou chybou CVE-2015-7547, která umožní spuštění škodlivého kódu. Chyby si nezávisle na sobě všimlo několik specialistů z Red Hatu a Googlu, kteří se s ní pochlubili na svém bezpečnostním blogu.

Inženýři z Googlu narazili na chybu poté, co jejich SSH klient spadl pokaždé, když se pokusil spojit s určitým počítačem v síti. Programátoři si nejprve mysleli, že je problém v jejich programu, postupem času ale přišli na to, že viníkem je přímo glibc a jeho funkce getaddrinfo(), která se stará o DNS překlad doménového jména na IP adresu.

90426727
Test od Googlu a pád aplikace. Systém je děravý (Foto: Kenn White pro Ars Technica)

Určité doménové jméno, případně chování DNS serveru, může při překladu vyvolat přetečení zásobníku (buffer overflow), což povede k chybě typu segmentation fault, které by mohl využít útočník ke spuštění vlastního záškodnického kódu.

Inženýři z Googlu pro tyto případy připravili i test, na kterém lze vyzkoušet, jestli je daný systém náchylný k útoku. Test se skládá z drobného kódu v C, který volá funkci  getaddrinfo(), a skriptu v Pythonu, který bude simulovat záškodníka. Zdrojové kódy testu jsou k dispozici na GitHubu. Pokud po spuštění nedojde k pádu aplikace, váš systém je bezpečný.

Potenciálně obrovské riziko

Jelikož je chyba v klíčové knihovně programovacího jazyka C, týká se ohromného množství linuxového softwaru, který byl napsán s využitím glibc 2.9 a vyšší a používá DNS dotazy, což je případ prakticky všech linuxových distribucí, populárních programů wget, curl, sudo, interpretů PHP, Python a tak dále a tak dále.

 

Dobrá zpráva pro majitele Androidu: Jeho kódy jsou napsané pomocí odnože glibc jménem Bionic a chyba se jej netýká

 

Oprava chyby může být poměrně složitá. Starší software napsaný pomocí problematické knihovny si totiž nese chybu ve svém vlastním kódu, a pokud jej už nikdo neudržuje, bude napadnutelný i nadále. Zatímco software na linuxových pracovních stanicích a serverech je zpravidla průběžně aktualizovaný, takové síťové krabičky v čele se staršími domácími Wi-Fi routery aj. bez automatické aktualizace se nicméně nyní mohou dostat do hledáčků útočníků, kteří dostali novou zajímavou zbraň. Stačí, abyste na podobně napadnutelném zařízení použili třeba jejich záškodnický DNS server a budou mít hostinu.

Ačkoliv se často vysmíváme Windows a některým chybám, se kterými se museli v Microsoftu vypořádat, jedná se o průběžně aktualizovaný OS. Miliony síťových krabiček s linuxovým jádrem uvnitř, jejichž aktualizace již dávno nikdo neřeší, jsou v případě podobných chyb potenciální cestou do pekel. O to důležitější je, aby nastupující IoT naprosto automaticky předpokládal průběžnou bezpečnostní aktualizaci firmwaru.


Kauza svým potenciálem připomíná chybu Heartbleed z jara roku 2014, která iniciovala lepší financování auditů kódu klíčového open-source softwaru. Jeho teoretická bezpečnostní výhoda oproti tomu proprietárnímu totiž skutečně spočívá v tom, že na kód může každý nahlédnout a hledat chyby, důkladná analýza rozsáhlých projektů ovšem vyžaduje čas a zdatné experty, takže nakonec stojí peníze, a proto zase není až takovou samozřejmostí, jak by leckdo pomyslel.

Článek patří do rubrik: Software, Linux, Operační systémy, Bezpečnost, Open source

82 komentářů

Diskuze

  • koubavit , 11. 4. 2016 8:13:11
    Programátoři jsou jenom lidi nejsou to bohové! B-]
  • kozec , 19. 2. 2016 8:13:25
    " Starší software napsaný pomocí problematické knihovny si totiž nese...
  • Petr Galansky , 19. 2. 2016 1:08:14
    REAKCE na jednoho z nejlepších IT bezpečnostních techniků Jakuba Čížka na...

Určitě si přečtěte


Gigabit doma: K čemu je v praxi dobrý superrychlý internet

Gigabit doma: K čemu je v praxi dobrý superrychlý internet

** Optickou přípojku s gigabitovou konektivitou už mohou mít i některé české domácnosti ** Abyste rychlosti využili, musíte mít na to potřebnou výbavu ** Plnou rychlost využijete při kombinaci různých služeb a více počítačích

20.  6.  2016 | David Polesný | 102

5 nejlepších programů pro rozšíření schránky ve Windows

5 nejlepších programů pro rozšíření schránky ve Windows

** Systémovou schránku nemusíte využívat jen pomocí zkratek Ctrl+C a Ctrl+V ** Rozšiřující aplikace přinesou historii použití včetně vyhledávání ** Schránka může být sdílena s dalšími zařízeními

19.  6.  2016 | Stanislav Janů | 11


Aktuální číslo časopisu Computer

Testy nejnovějších produktů na českém trhu.

Informace ze světa internetu i bezpečnosti.

Plné verze programů zdarma pro všechny čtenáře.

Napište nám