Sikkerhedshul i Linux?
Sikkerhedshul i Linux?
http://www.computerworld.dk/art/233035/farligt-sikkerhedshul-i-linux-ha…
"En kritisk sårbarhed, som befinder sig i mange Linux-distributioner, og som kan udløses både lokalt og eksternt, har ramt Linux-distributionerne.
Sårbarheden er blevet navngivet Ghost, og den kan misbruges til at overtage kontrol med sårbare maskiner.
Ghost har fået tildelt CVE-ID: CVE-2015-0235."
Så blev Linux operativ system alligevel angrebet, selv om det hedder sig, at det næsten er en umulighed?
Hvad mener du?
http://www.computerworld.dk/art/233035/farligt-sikkerhedshul-i-linux-ha…
"En kritisk sårbarhed, som befinder sig i mange Linux-distributioner, og som kan udløses både lokalt og eksternt, har ramt Linux-distributionerne.
Sårbarheden er blevet navngivet Ghost, og den kan misbruges til at overtage kontrol med sårbare maskiner.
Ghost har fået tildelt CVE-ID: CVE-2015-0235."
Så blev Linux operativ system alligevel angrebet, selv om det hedder sig, at det næsten er en umulighed?
Hvad mener du?
Kommentarer11
?.. UNIX/Linux har da været
Kun en tåbe vil mene at det er en umulighed at finde/udnytte sårbarheder i Linux.
Lad os lige starte med at
Herefter kan vi lige slå fast at der er intet system der er sikkert og at påstå andet gør dig bare til idiot. Der er tons af sikkerhedshuller i både Windows, Mac OSX, Linux, Firefox, Chrome, Opera og et hvilket som helst andet mere komplekst produkt du kan komme i tanke om.
Og sidst, så drejer GHOST problemet sig om at man kan udnytte en fejl der blev rettet for længe siden i glibc (2.18). Da fejlen blev rettet mente man ikke at fejlen var et sikkerhedsproblem og derfor blev fejlen blot behandlet som alm. fejlrettelse. Eftersom et stort antal distributioner ikke benytter seneste version af udgivet software. Dette er pointeret i den oprindelige beskrivelse af hullet:
- We identified a number of factors that mitigate the impact of this bug. In particular, we discovered that it was fixed on May 21, 2013 (between the releases of glibc-2.17 and glibc-2.18). Unfortunately, it was not recognized as a security threat; as a result, most stable and long-term-support distributions were left exposed (and still are): Debian 7 (wheezy), Red Hat Enterprise Linux 6 & 7, CentOS 6 & 7, Ubuntu 12.04, for example.
http://www.openwall.com/lists/oss-security/2015/01/27/9
Det betyder at dem der benytter distributioner der benytter en version af glibc der er 2.18 eller nyere er ikke ramt af dette specifikke problem. Fx Arch Linux blev ikke ramt at problemet da der altid løbende opgraderes til seneste version af pakker inklusiv glibc:
http://allanmcrae.com/2015/01/who-you-gonna-call/
Hvor vil jeg hen med dette? At når computerworld skriver overskriften "Farligt sikkerhedshul i Linux: Hackere kan overtage kontrollen" så er det alm. lokkemad for at få flere til at læse artiklen. De skriver så at det kun rammer "mange Linux-distributioner" men skriver på intet tidspunkt hvilke der er ramt og hvilke der ikke er og hvorfor det ikke er alle der er ramt af problemet (eller hvordan du som bruger kan se om du har problemet). Artiklen er altså komplet indholdsløs og har intet formål da den ikke gør læseren klogere eller hjælpe med at løse problemet. Den kan allerhøjst være medvirken til at skabe en panikstemning.
interesant case
Panik til side så er der en real fejl vist nok fundet via et script der tjekkede for potentielle fejl pr https://community.qualys.com/blogs/laws-of-vulnerabilities/2015/01/27/t… men aldrig flagged i bureaukratiet som et sikkerhedshul.
Det betyder at vi har en fejl rettet i nye "feature" releases men ikke i stable releases fordi dem der fandt den bare fixede fejlen og smed det i patch notes og ikke udfyldte en CVE formular og gav notice igennem CERT organisationerne. Ikke så meget pga hemmelighedskræmmeri men fordi de ikke var en del af et sikkerhedsteam, og bare rettede et mem leak issue med buffer overflow potentiale. Men det er det trade off du laver når du vælger stable. IE der er e risiko for at du misser en vigtig opdatering.
bog post fra dem der fik fejlen reklasificeret som sikkerhedsfejl til info har en rar video
https://community.qualys.com/blogs/laws-of-vulnerabilities/2015/01/27/t…
Installation af Bitdefender
Kopier teksten til terminalen linje for linje fra linket herunder:
https://db.tt/OkeA83z7
Derefter skal du registrere Bitdefender med en gratis licens:
http://www.bitdefender.com/site/Products/ScannerLicense/
Licensen bliver sendt til din mail. Skriv licensen i Bitdefender efter du har startet den.
Start fra terminalen med gksudo bdgui, gksu bdgui eller rediger en genvej med kommandoen.
Bruger du en RPM baseret backend Linux, som OpenSuse, Fedora m.f., så kan Bitdefender installeres herfra:
http://download.bitdefender.com/repos/rpm/bitdefender/
Der har eksisteret en fix
http://www.openwall.com/lists/oss-security/2015/01/27/9
computerworld.dk
De kan allerhøjst være medvirken til at skabe en panikstemning!
Ja, man skal selvfølgelig heller ikke stole på alt hvad man sådant høre*S*.
computerworld.dk
Det skal man selvfølgelig være opmærksom på når man læser deres artikler :-)
Hej Poul,
Du bruger ofte
Du bruger ofte nogle tegn ved afslutning af dine sætninger.
Som eksempel: #7: høre*S*.
Kunne du ikke give os en liste over betydningen af disse eller måske helt undlade disse, hvis de ikke har nogen betydninger.
http://blogs.cisco.com/securi
https://stackoverflow.com/questions/24514835/modifying-gethostbyname-re…
Bare sørg for at holde arbejdsstationer og servere opdateret, og dermed glibc 2.19.
https://db.tt/sCoq7Dbw
Computerworld overtog Comon og sidenhen faldt informationsværdien fra Comon, men naturligvis skal exploits offentliggøres, også gethostbyname() og DNS lookup functions _nss_dns_gethostbyname3_r i resolv/nss_dns/dns-host.c.
Hvis man er interesseret, så tjek med Metasploit, eventuelt med Kali Linux, og installer noget AV for bedre at sikre sig at man ikke har en infektion.
Vil nogen vædde på, at selvom glibc er mindre end 2.19, så er der ingen kompromitterede eller inficerede Linux arbejdsstationer?
pko
Du bruger ofte nogle tegn ved afslutning af dine sætninger.
Som eksempel: #7: høre*S*.
Kunne du ikke give os en liste over betydningen af disse eller måske helt undlade disse, hvis de ikke har nogen betydninger."
Hej pko
Ved du ikke, at *S* betyder "smiler"?
Så kunne du jo meget passende fortælle hvad pko står for?
Hej pkoVed du ikke, at
Ved du ikke, at *S* betyder "smiler"?
Så kunne du jo meget passende fortælle hvad pko står for?
Det er såmænd initialer. :)