Обнаружена критическая уязвимость в Glibc

Александр Панасенко 28 Января 2015 - 09:49

...

В системной библиотеке Glibc выявлена критическая уязвимость (CVE-2015-0235), которая может использоваться для организации выполнения кода в системе и проявляется при обработке специально оформленных данных в функциях gethostbyname() и gethostbyname2(), которые используются во многих программах для преобразования имени хоста в IP-адрес.

По степени опасности уязвимость, которая получила кодовое имя GHOST, сравнима с уязвимостями в Bash и OpenSSL. Для демонстрации уязвимости подготовлен рабочий прототип эксплоита, позволяющий организовать удалённое выполнение кода на почтовом сервере Exim, обойдя все доступные механизмы дополнительной защиты (ASLR, PIE, NX) на 32- и 64-разрядных системах, сообщает opennet.ru.

Проблема вызвана переполнением буфера в функции __nss_hostname_digits_dots(), используемой в gethostbyname() и gethostbyname2(). Несмотря на то, что вызовы gethostbyname() и gethostbyname2() устарели (следует использовать getaddrinfo()), они продолжают применяться для преобразования имени хоста во многих актуальных приложениях. Атака затруднена в серверных программах, которые используют gethostbyname() для обратной проверки данных, полученных через DNS, а также в привилегированных suid-утилитах, в которых вызов getaddrinfo() применяется только при сбое выполнения inet_aton(). Опасность представляют в основном приложения, передающие в getaddrinfo() данные, полученные извне, такие как почтовые серверы и манипулирующие именами хостов утилиты. Например, уязвимость подтверждена в Exim (при использовании настроек "helo_verify_hosts", "helo_try_verify_hosts" или ACL "verify = helo"), procmail и clockdiff.

Примечательно, что проблема присутствует в коде Glibc начиная с версии 2.2, выпущенной в ноябре 2000 года. При этом проблема была молча устранена в мае 2013 года без указания на то, что исправленная ошибка имеет отношение к серьёзным проблемам с безопасностью. Glibc 2.18 и более новые выпуски не подвержены уязвимости. Уязвимость не проявляется в дистрибутивах, построенных на основе свежих версий Glibc, например, в последних версиях Fedora и Ubuntu.

При этом, уязвимости подвержены длительно поддерживаемые промышленные дистрибутивы, которые требуют незамедлительного обновления. В частности, проблема проявляется в Debian 7 (wheezy), Red Hat Enterprise Linux 6 и 7, CentOS 6 и 7, Ubuntu 10.04 и 12.04, SUSE Linux Enterprise 10 и 11. В настоящее время обновление уже выпущено для Ubuntu 10.04/12.04, Debian 7 и RHEL 7,6,5. На стадии подготовки обновления для SUSE и CentOS. После обновления glibc следует не забыть перезапустить сетевые приложения.

Следующая главная новость »

Российские платформы для обмена файлами: что реально работает?
Регистрируйтесь на эфир!

Екатерина Быстрова 16 Апреля 2026 - 18:59

Корпорации Услуги по информационной безопасности Managed Detection and Response (MDR) Лаборатория Касперского

В Kaspersky MDR 3.0 расширили возможности мониторинга и реагирования

«Лаборатория Касперского» обновила сервис Managed Detection and Response до версии 3.0. В новой версии разработчики сделали упор сразу на три направления: усилили интеграцию с другими продуктами компании, расширили применение MDR на встраиваемые системы и доработали инструменты для более удобной работы с инцидентами.

Одно из главных изменений — более плотная связка с другими решениями «Лаборатории Касперского». Теперь Kaspersky MDR 3.0 теснее взаимодействует с Kaspersky Anti Targeted Attack 8.0 и Kaspersky EDR Expert 8.0.

Например, по запросу аналитиков файлы можно передавать автоматически, что помогает быстрее разбирать инциденты. Кроме того, сами инциденты теперь можно экспортировать в Kaspersky Unified Monitoring and Analysis Platform 4.0 для дополнительного анализа.

Изменения затронули и контейнерные среды. Kaspersky Endpoint Security для Linux 12.4 начал передавать в MDR более детализированную телеметрию, что должно повысить качество выявления угроз. Также появился более удобный сценарий взаимодействия между Kaspersky EDR Expert и MDR: передать инцидент на разбор аналитикам теперь можно буквально в один клик.

Ещё одно заметное нововведение — расширение MDR на встраиваемые системы. В версии 3.0 появилась поддержка единого MDR-агента для Kaspersky Embedded Systems Security 4.0. Это позволяет подключать к мониторингу безопасности специализированные среды и в целом упрощает работу с такими системами.

Отдельно доработали и пользовательскую часть. В Telegram-уведомлениях об инцидентах теперь доступно больше подробностей, а интерфейс MDR-портала адаптировали под мобильные устройства. Идея простая: чтобы специалисты могли быстрее получить нужную информацию и не были жёстко привязаны к рабочему месту.

Кроме того, в новой версии предусмотрена возможность передавать инциденты команде Kaspersky Incident Response. Это нужно в тех случаях, когда атака оказывается сложной и для её расследования или устранения последствий требуется подключение профильных экспертов.

Российские платформы для обмена файлами: что реально работает?
Регистрируйтесь на эфир!