Luka w ważnych bibliotekach Linuksa

Dość poważną lukę w bezpieczeństwie jednej z kluczowych bibliotek w wielu dystrybucjach Linuksa wykryli badacze firmy Qualys. Poprawka usuwająca lukę jest już dostępna.

Odkryty błąd oznaczony CVE-2015-0235 znajduje się w kodzie bibliotek glibc (GNU libc) od wersji 2.2 i łączy się z przepełnieniem bufora w funkcji odpowiedzialnej za współpracę z usługą DNS. Wykorzystanie tego błędu umożliwia nieautoryzowane uzyskanie różnych poziomów dostępu – od pozyskania informacji o maszynie (rozróżnienie między wydaniem 32 i 64 bity), aż do przejęcia kontroli włącznie. Błąd ten umożliwia obejście zabezpieczeń takich jak ASLR, PIE oraz NX. Poprawka jest już dostępna i należy ją założyć, aktualizując biblioteki glibc do najnowszej wersji.

Mimo to, że błąd jest poważny, omawianą podatność można wykorzystać tylko za pomocą niewielkiej liczby aplikacji. Warunki wykorzystania podatności omówione zostały na liście oss-security, a także na Technoblogu.

Zobacz również:


TOP 200