Es Apache vulnerable a CVE-2015-1781 (desbordamiento de búfer en gethostbyname_r()
familia de funciones)?
¿Cómo puedo verificar rápidamente si un sistema mío es seguro?
Es Apache vulnerable a CVE-2015-1781 (desbordamiento de búfer en gethostbyname_r()
familia de funciones)?
¿Cómo puedo verificar rápidamente si un sistema mío es seguro?
Primero debes verificar la versión de tu glibc: usar este comando puede ayudar:
ldd --version
El final de la respuesta tiene cosas buenas que puedes omitir e ir allí
De acuerdo con esta referencia esta vulnerabilidad funciona en la versión glibc antes del 2.21-3. si su glibc es más antigua que esta versión, es vulnerable.
El problema se solucionó en sentido ascendente, pero aún no se ha creado una nueva versión. publicado.
También hay otra vulnerabilidad que se revisó por última vez: 04 / 13/2015 y también está relacionado con la versión 2.20 de glibc y anterior.
Lea también este: Alerta de Red Hat RHSA-2015: 0863-01 (glibc)
Arjun Shankar de Red Hat descubrió que el código nss_dns no lo hace ajustar la longitud del búfer cuando el puntero de inicio del búfer está alineado. Como un Como resultado, puede ocurrir un desbordamiento de búfer en la implementación de funciones. como gethostbyname_r, y las respuestas de DNS creadas pueden causar La aplicación falla o da como resultado la ejecución de código arbitrario. Esto solo puede suceder si se llama a estas funciones con una alineación incorrecta. buffer. Miré un poco de código fuente y probé aplicaciones con un parche glibc que registra buffers desalineados. No observé cualquiera de dichos buffers desalineados . [Referencia]
GHOST gethostbyname () desbordamiento del montón en glibc (CVE-2015-0235)
Esta es otra vulnerabilidad relacionada con glibc y gethostbyname () este artículo dice: "por lo que sabemos, el desbordamiento de búfer no se puede activar en ninguno de [estos]:
apache, cups, dovecot, gnupg, isc-dhcp, lighttpd, mariadb / mysql,
nfs-utils, nginx, nodejs, openldap, openssh, postfix, proftpd,
pure-ftpd, rsyslog, samba, sendmail, sysklogd, syslog-ng, tcp_wrappers,
vsftpd, xinetd. "
Así que creo que esta vulnerabilidad no afecta su vulnerabilidad mencionada en apache
y quizás esta vulnerabilidad tenga un efecto en Apache o tal vez no, pero hasta que aclare este problema. la contramedida rápida es actualizar glibc a la última versión.
Fuente httpd de Apache: 2.4.12
Hice un código fuente Grep para 'GLIBC' y 'gethostbyname'
enlace
enlace
enlace
enlace
enlace
enlace
enlace
enlace
enlace
enlace
enlace
enlace
enlace
Apache está utilizando Apache Portability Runtime e implementaron su propio apr_gethostbyname, por lo que el servidor central no es vulnerable.
Pero a lo largo del tiempo, algunos módulos, aparentemente no usaron la función APH gethostbyname, por lo que es muy posible encontrar todavía algunos módulos que lo usan.
También el apache está validando correctamente todas las entradas, por lo que es muy poco probable que se produzca un desbordamiento, incluso si Apache está usando esta función.
Hice una comprobación rápida y no encontré ninguna referencia a gethostbyname_r, por lo que 99.999% Apache Web Server no es vulnerable.
Actualizar:
También puede ver que mis colegas ya están buscando en el código fuente y que gethostbyname se detectó en solo 2 módulos.
Lea otras preguntas en las etiquetas apache