Tisíce linuxových programů i celé distribuce nejspíše trpí kritickou chybou

Tisíce linuxových programů i celé distribuce nejspíše trpí kritickou chybou

GNU C Library 2.9 a vyšší (glibc), standardní knihovna jazyka C především na linuxových systémech, trpí posledních osm let kritickou chybou CVE-2015-7547, která umožní spuštění škodlivého kódu. Chyby si nezávisle na sobě všimlo několik specialistů z Red Hatu a Googlu, kteří se s ní pochlubili na svém bezpečnostním blogu.

Inženýři z Googlu narazili na chybu poté, co jejich SSH klient spadl pokaždé, když se pokusil spojit s určitým počítačem v síti. Programátoři si nejprve mysleli, že je problém v jejich programu, postupem času ale přišli na to, že viníkem je přímo glibc a jeho funkce getaddrinfo(), která se stará o DNS překlad doménového jména na IP adresu.

Klepněte pro větší obrázek
Test od Googlu a pád aplikace. Systém je děravý (Foto: Kenn White pro Ars Technica)

Určité doménové jméno, případně chování DNS serveru, může při překladu vyvolat přetečení zásobníku (buffer overflow), což povede k chybě typu segmentation fault, které by mohl využít útočník ke spuštění vlastního záškodnického kódu.

Inženýři z Googlu pro tyto případy připravili i test, na kterém lze vyzkoušet, jestli je daný systém náchylný k útoku. Test se skládá z drobného kódu v C, který volá funkci  getaddrinfo(), a skriptu v Pythonu, který bude simulovat záškodníka. Zdrojové kódy testu jsou k dispozici na GitHubu. Pokud po spuštění nedojde k pádu aplikace, váš systém je bezpečný.

Potenciálně obrovské riziko

Jelikož je chyba v klíčové knihovně programovacího jazyka C, týká se ohromného množství linuxového softwaru, který byl napsán s využitím glibc 2.9 a vyšší a používá DNS dotazy, což je případ prakticky všech linuxových distribucí, populárních programů wget, curl, sudo, interpretů PHP, Python a tak dále a tak dále.

 

Dobrá zpráva pro majitele Androidu: Jeho kódy jsou napsané pomocí odnože glibc jménem Bionic a chyba se jej netýká

 

Oprava chyby může být poměrně složitá. Starší software napsaný pomocí problematické knihovny si totiž nese chybu ve svém vlastním kódu, a pokud jej už nikdo neudržuje, bude napadnutelný i nadále. Zatímco software na linuxových pracovních stanicích a serverech je zpravidla průběžně aktualizovaný, takové síťové krabičky v čele se staršími domácími Wi-Fi routery aj. bez automatické aktualizace se nicméně nyní mohou dostat do hledáčků útočníků, kteří dostali novou zajímavou zbraň. Stačí, abyste na podobně napadnutelném zařízení použili třeba jejich záškodnický DNS server a budou mít hostinu.

Ačkoliv se často vysmíváme Windows a některým chybám, se kterými se museli v Microsoftu vypořádat, jedná se o průběžně aktualizovaný OS. Miliony síťových krabiček s linuxovým jádrem uvnitř, jejichž aktualizace již dávno nikdo neřeší, jsou v případě podobných chyb potenciální cestou do pekel. O to důležitější je, aby nastupující IoT naprosto automaticky předpokládal průběžnou bezpečnostní aktualizaci firmwaru.


Kauza svým potenciálem připomíná chybu Heartbleed z jara roku 2014, která iniciovala lepší financování auditů kódu klíčového open-source softwaru. Jeho teoretická bezpečnostní výhoda oproti tomu proprietárnímu totiž skutečně spočívá v tom, že na kód může každý nahlédnout a hledat chyby, důkladná analýza rozsáhlých projektů ovšem vyžaduje čas a zdatné experty, takže nakonec stojí peníze, a proto zase není až takovou samozřejmostí, jak by leckdo pomyslel.

Diskuze (71) Další článek: Leapmotion Orion bude snímat ruce ve VR

Témata článku: Software, Operační systémy, Bezpečnost, Linux, Open source, Linuxový program, Sever, Overflow, Tisíc, Bionic, Populární program, Rozsáhlý projekt, Doménové jméno, Tisice, Blogspot, Důkladná analýza, Buffer, Záškodník, Rozsáhlý audit, Linuxový, Lin, Chyba, Linuxová distribuce, Přetečení, Distribuce


Určitě si přečtěte

Koupili jsme nejlevnější dron s kamerou. Stál nás 300 Kč a má rozměry kreditky

Koupili jsme nejlevnější dron s kamerou. Stál nás 300 Kč a má rozměry kreditky

** Kvalitní drony začínají na 10 000 Kč ** Šli jsme na to jinak a koupili ten nejlevnější s kamerou ** I když je to čínský šmejd, je s ním zábava

Jakub Čížek | 35

Chyba roku 2038 způsobí problémy, počítače dnes totiž stárnou příliš pomalu

Chyba roku 2038 způsobí problémy, počítače dnes totiž stárnou příliš pomalu

** Loni ajťáky vystrašilo přetečení GPS čítače týdnů ** Nemělo se stát vůbec nic, ale svět opět nebyl připravený ** Za 18 let nás ale čeká ještě něco mnohem většího

Jakub Čížek | 68

Jak funguje kontroverzní program, který ženám krade plavky. Mají se čeho bát?

Jak funguje kontroverzní program, který ženám krade plavky. Mají se čeho bát?

** Strojové učení ještě nepřitáhlo takový zájem jako na začátku prázdnin ** Ne, umělá inteligence nenašla lék na rakovinu ** Naučila se svlékat ženy nejen z plavek

Jakub Čížek | 35

12 nejšílenějších programovacích jazyků, ze kterých vám praskne hlava

12 nejšílenějších programovacích jazyků, ze kterých vám praskne hlava

** Myslíte si, že umíte programovat? ** Ale prosím vás, zkuste jazyk Wenyan nebo Malbolge ** Z ezoterických jazyků zešílíte, nebo vás zaměstnají v Googlu

Jakub Čížek | 26



Aktuální číslo časopisu Computer

Velký test autokamer

Test ATX skříní

Jak surfovat pohodlně

Sportovní aplikace

Jak funguje procesor