Tisíce linuxových programů i celé distribuce nejspíše trpí kritickou chybou

Tisíce linuxových programů i celé distribuce nejspíše trpí kritickou chybou

GNU C Library 2.9 a vyšší (glibc), standardní knihovna jazyka C především na linuxových systémech, trpí posledních osm let kritickou chybou CVE-2015-7547, která umožní spuštění škodlivého kódu. Chyby si nezávisle na sobě všimlo několik specialistů z Red Hatu a Googlu, kteří se s ní pochlubili na svém bezpečnostním blogu.

Inženýři z Googlu narazili na chybu poté, co jejich SSH klient spadl pokaždé, když se pokusil spojit s určitým počítačem v síti. Programátoři si nejprve mysleli, že je problém v jejich programu, postupem času ale přišli na to, že viníkem je přímo glibc a jeho funkce getaddrinfo(), která se stará o DNS překlad doménového jména na IP adresu.

Klepněte pro větší obrázek
Test od Googlu a pád aplikace. Systém je děravý (Foto: Kenn White pro Ars Technica)

Určité doménové jméno, případně chování DNS serveru, může při překladu vyvolat přetečení zásobníku (buffer overflow), což povede k chybě typu segmentation fault, které by mohl využít útočník ke spuštění vlastního záškodnického kódu.

Inženýři z Googlu pro tyto případy připravili i test, na kterém lze vyzkoušet, jestli je daný systém náchylný k útoku. Test se skládá z drobného kódu v C, který volá funkci  getaddrinfo(), a skriptu v Pythonu, který bude simulovat záškodníka. Zdrojové kódy testu jsou k dispozici na GitHubu. Pokud po spuštění nedojde k pádu aplikace, váš systém je bezpečný.

Potenciálně obrovské riziko

Jelikož je chyba v klíčové knihovně programovacího jazyka C, týká se ohromného množství linuxového softwaru, který byl napsán s využitím glibc 2.9 a vyšší a používá DNS dotazy, což je případ prakticky všech linuxových distribucí, populárních programů wget, curl, sudo, interpretů PHP, Python a tak dále a tak dále.

 

Dobrá zpráva pro majitele Androidu: Jeho kódy jsou napsané pomocí odnože glibc jménem Bionic a chyba se jej netýká

 

Oprava chyby může být poměrně složitá. Starší software napsaný pomocí problematické knihovny si totiž nese chybu ve svém vlastním kódu, a pokud jej už nikdo neudržuje, bude napadnutelný i nadále. Zatímco software na linuxových pracovních stanicích a serverech je zpravidla průběžně aktualizovaný, takové síťové krabičky v čele se staršími domácími Wi-Fi routery aj. bez automatické aktualizace se nicméně nyní mohou dostat do hledáčků útočníků, kteří dostali novou zajímavou zbraň. Stačí, abyste na podobně napadnutelném zařízení použili třeba jejich záškodnický DNS server a budou mít hostinu.

Ačkoliv se často vysmíváme Windows a některým chybám, se kterými se museli v Microsoftu vypořádat, jedná se o průběžně aktualizovaný OS. Miliony síťových krabiček s linuxovým jádrem uvnitř, jejichž aktualizace již dávno nikdo neřeší, jsou v případě podobných chyb potenciální cestou do pekel. O to důležitější je, aby nastupující IoT naprosto automaticky předpokládal průběžnou bezpečnostní aktualizaci firmwaru.


Kauza svým potenciálem připomíná chybu Heartbleed z jara roku 2014, která iniciovala lepší financování auditů kódu klíčového open-source softwaru. Jeho teoretická bezpečnostní výhoda oproti tomu proprietárnímu totiž skutečně spočívá v tom, že na kód může každý nahlédnout a hledat chyby, důkladná analýza rozsáhlých projektů ovšem vyžaduje čas a zdatné experty, takže nakonec stojí peníze, a proto zase není až takovou samozřejmostí, jak by leckdo pomyslel.

Témata článku: Software, Operační systémy, Linux, Bezpečnost, Open source, Lin, Tisíc, Linuxová distribuce, Záškodník, Bionic, Rozsáhlý audit, Chyba, Sever, Důkladná analýza, Blogspot, Doménové jméno, Distribuce

Určitě si přečtěte

Velká podzimní aktualizace Windows 10 je tady: Co přináší Fall Creators Update

Velká podzimní aktualizace Windows 10 je tady: Co přináší Fall Creators Update

** Po půl roce je tu další aktualizace Windows ** A opět přináší hlavně hromadu drobných kosmetických vylepšení ** Podívali jsme se na ty nejzajímavější

17.  10.  2017 | Jakub Čížek | 185

Budoucností Windows 10 je Fluent Design. Takto bude jednou vypadat celý systém

Budoucností Windows 10 je Fluent Design. Takto bude jednou vypadat celý systém

** Fluent Design je vzhled, do kterého postupně Microsoft převleče celý systém ** Staví na průhlednosti a velkých plochách ** Do Windows 10 se z části dostane už zítra při vydání podzimní aktualizace

16.  10.  2017 | Stanislav Janů | 155

Jak funguje největší akumulátor v Česku: podívejte se do elektrárny Dlouhé Stráně

Jak funguje největší akumulátor v Česku: podívejte se do elektrárny Dlouhé Stráně

** Přečerpávací vodní elektrárna Dlouhé stráně je obdivuhodné technické dílo ** Stejná turbína vyrábí elektřinu i tlačí vodu zpět do horního jezera ** Strojovna elektrárny je zabudována v podzemí

19.  10.  2017 | David Polesný | 19

Nejlepší optické iluze: Z toho vám půjde hlava kolem

Nejlepší optické iluze: Z toho vám půjde hlava kolem

** Mozek se nechá snadno ošálit, a to mnoha způsoby ** Podívejte se na několik nejlepších optických iluzí ** Iluze dokazují, že vnímání reality může být značně zkreslené

16.  10.  2017 | Vojtěch Malý


Aktuální číslo časopisu Computer

Nový seriál o programování elektroniky

Otestovali jsme 17 bezdrátových sluchátek

Jak na nákup vánočních dárků ze zahraničí

4 tankové tiskárny v přímém souboji