Resna ranljivost v GNU C knjižnici
jype
17. feb 2016 ob 09:30:15
Po poročanju Ars Technice so raziskovalci Googla in Red Hata odkrili, da je mogoče z ustrezno oblikovanim DNS odzivom na poizvedbo, sproženo s funkcijo getaddrinfo(), prepisati kos pomnilnika nad skladom, kar pomeni, da napadalec lahko doseže, da napadeni računalnik izvede napadalčeve ukaze v varnostnem kontekstu, kjer se trenutno nahaja.
Napaka je kritična predvsem zaradi razširjenosti. Odkar je GNU C knjižnica postala del ogromne količine delujočih naprav, od Linux strežnikov preko (nekaterih redkih - Android in iOS oba uporabljata drugo različico C knjižnice) mobilnih telefonov pa vse do pametnih televizorjev in hladilnikov, bo krpanje napake vzelo ogromno časa, znaten delež (predvsem starejših) naprav pa zakrpanja zelo verjetno sploh ne bo dočakal. Napaka je prisotna v različicah knjižnice od 2.9 naprej, ta pa je bila objavljena avgusta 2008. Pri tem je pomembno razumeti, da so ranljivi vsi programi, ki se zanašajo na omenjeno knjižnico za razreševanje imen, pa tudi da so programi, ki se ne, izjemno redki. Varnostna luknja je torej prisotna v praktično vseh sodobnih programih, predvsem na Linuxu, pa tudi na nekaterih (bistveno redkejših) drugih sistemih, ki knjižnico uporabljajo.
Velika večina Linux distribucij (danes izpod čela gledam le še Centos) je popravke že objavila in mnogi so jih že namestili v preteklem dnevu, bolj zapleteni postopki nadgradnje pri bolj specializiranih napravah (kjer je glibc knjižnica zaradi svoje velikosti k sreči redkeje uporabljana) pa bodo bržkone vzeli nekaj mesecev, v nekaterih primerih zagotovo tudi več.
Namestitev popravka za večino uporabnikov osebnih računalnikov in upravljavcev strežnikov k sreči ni prav nič zapletena, je pa nemara čas, da če ne uporabljate avtomatizirane nadgradnje in je še niste sprožili ročno, to storite čimprej.
DNS is indeed the . of all evil.