¿Es Apache vulnerable a CVE-2015-1781?

Question

¿Es Apache vulnerable a CVE-2015-1781?

Navega tus respuestas

#1 de Ali (9 votos)
#2 de LvB (0 votos)
#3 de Sacx (0 votos)

10

Es Apache vulnerable a CVE-2015-1781 (desbordamiento de búfer en gethostbyname_r() familia de funciones)?

¿Cómo puedo verificar rápidamente si un sistema mío es seguro?

apache

pregunta chenwen2 04.05.2015 - 10:55

fuente

3 respuestas

Lea otras preguntas en las etiquetas apache

¿Existen sitios web falsos / falsos maliciosos para probar los servicios de reputación web similares a EICAR? Herramientas para escanear en busca de PII [cerrado]

score 9 · Answer 1

Primero debes verificar la versión de tu glibc: usar este comando puede ayudar:

ldd --version

El final de la respuesta tiene cosas buenas que puedes omitir e ir allí

De acuerdo con esta referencia esta vulnerabilidad funciona en la versión glibc antes del 2.21-3. si su glibc es más antigua que esta versión, es vulnerable.

El problema se solucionó en sentido ascendente, pero aún no se ha creado una nueva versión. publicado.

También hay otra vulnerabilidad que se revisó por última vez: 04 / 13/2015 y también está relacionado con la versión 2.20 de glibc y anterior.

Lea también este: Alerta de Red Hat RHSA-2015: 0863-01 (glibc)

Arjun Shankar de Red Hat descubrió que el código nss_dns no lo hace ajustar la longitud del búfer cuando el puntero de inicio del búfer está alineado. Como un Como resultado, puede ocurrir un desbordamiento de búfer en la implementación de funciones. como gethostbyname_r, y las respuestas de DNS creadas pueden causar La aplicación falla o da como resultado la ejecución de código arbitrario. Esto solo puede suceder si se llama a estas funciones con una alineación incorrecta. buffer. Miré un poco de código fuente y probé aplicaciones con un parche glibc que registra buffers desalineados. No observé cualquiera de dichos buffers desalineados . [Referencia]

GHOST gethostbyname () desbordamiento del montón en glibc (CVE-2015-0235)

Esta es otra vulnerabilidad relacionada con glibc y gethostbyname () este artículo dice: "por lo que sabemos, el desbordamiento de búfer no se puede activar en ninguno de [estos]:

apache, cups, dovecot, gnupg, isc-dhcp, lighttpd, mariadb / mysql,

nfs-utils, nginx, nodejs, openldap, openssh, postfix, proftpd,

pure-ftpd, rsyslog, samba, sendmail, sysklogd, syslog-ng, tcp_wrappers,

vsftpd, xinetd. "

Así que creo que esta vulnerabilidad no afecta su vulnerabilidad mencionada en apache

y quizás esta vulnerabilidad tenga un efecto en Apache o tal vez no, pero hasta que aclare este problema. la contramedida rápida es actualizar glibc a la última versión.

score 0 · Answer 2

Fuente httpd de Apache: 2.4.12

Hice un código fuente Grep para 'GLIBC' y 'gethostbyname'

Encontré referencias a las bibliotecas GlibC (por lo que Apache podría usarlas)
También encontré los siguientes usos de 'gethostbyname':

enlace

enlace

enlace

enlace

enlace

enlace

enlace

enlace

enlace

enlace

enlace

enlace

enlace

Por lo tanto, apache httpd podría ser vulnerable, ya que depende de qué versión de glibc se esté utilizando. la que se informa en riesgo es Cualquier versión a continuación glibc 2.12 (glib 6)

score 0 · Answer 3

Apache está utilizando Apache Portability Runtime e implementaron su propio apr_gethostbyname, por lo que el servidor central no es vulnerable.

Pero a lo largo del tiempo, algunos módulos, aparentemente no usaron la función APH gethostbyname, por lo que es muy posible encontrar todavía algunos módulos que lo usan.

También el apache está validando correctamente todas las entradas, por lo que es muy poco probable que se produzca un desbordamiento, incluso si Apache está usando esta función.

Hice una comprobación rápida y no encontré ninguna referencia a gethostbyname_r, por lo que 99.999% Apache Web Server no es vulnerable.

Actualizar:

También puede ver que mis colegas ya están buscando en el código fuente y que gethostbyname se detectó en solo 2 módulos.