Qué hacen, maquinolas, por lo general no posteo nada porque los pocos posts que hice nunca fueron fructíferos, así que abandoné mi carrera como diamond y me dediqué a comentar boludeces.
Sin embargo, me pareció copado compartir esto que muchos sysadmins o ingenieros ya debemos estar al tanto, o si sólo sos un usuario regular de Linux, también deberías.
GHOST
GHOST es una "vulnerabilidad" que existe en GNU/Linux hace unos 10 a;os o más (no tengo enie), esencialmente en glibc (GNU Library C), para ponerlo de una forma muy simple, esto es el corazón de un GNU/Linux, sin esto el OS no funca.
Cuál es la vulnerabilidad en sí?
Se descubrió un buffer overflow en la función __nss_hostname_digits_dots() de glibc, que a su vez esto es activado via la función gethostbyname*(), las aplicaciones tienen acceso a la resolución via DNS a través del set de funciones gethostbyname*(). En criollo sería: te pueden ejecutar código local o remotamente.
A cuáles aplicaciones afecta glibc?
caffeine:tmp> lsof | grep libc | awk '{print $1}' | sort | uniq
Ahora, a no paranoiquear, el riesgo es real, muy real, diría que es más groso que shellshock porque afecta a una librería core PERO tenés que ser un recontracapo para poder explotarlo, a un nivel casi Peluchín SSJ5 con toda la facha del Pichi. Sinceramente hay que hilar muy fino como para poder explotarlo, tiene sus limitaciones y formas de mitigarlo por default.
Y además de todo esto, hace horas que se descubrió la forma de explotarlo como todas las cosas buenas del opensource, ya tenemos forma de parchearlo.
Las versiones afectadas son:
RHEL (Red Hat Enterprise Linux) version 5.x, 6.x, 7.x
CentOS Linux 5.x, 6.x & 7.x
Ubuntu Linux version 10.04, 12.04 LTS
Debian Linux version 7.x
Linux Mint version 13.0
Fedora Linux version 19 y anteriores
SUSE Linux Enterprise 11 y anteriores
Arch Linux glibc version <= 2.18-1
Cómo sé si me afecta?
Y te va a decir qué versión de glibc tenés. Si es superior a 2.18 no hay drama. Igualmente, ante la duda te dejo un script muy simple que hice para probar:
Cómo parcheo?
Debian y Ubuntu son muy simples:
sudo apt-get update && sudo apt-get upgrade
Ojo con Debian, en mi caso en el laburo tengo algunos Debian 4.0 corriendo y estoy hasta las re pelotas porque no tienen soporte ya. Hagas lo que gas NO le agregues repos de otras versiones, vas a hacer pija el server.
Para saber en qué versiones de Debian va a funcar un simple upgrade:
https://security-tracker.debian.org/tracker/CVE-2015-0235
Fedora / Centos / RHEL:
sudo yum clean all && sudo yum update
reboot
https://rhn.redhat.com/errata/RHSA-2015-0092.html
https://rhn.redhat.com/errata/RHSA-2015-0090.html
Quiero kakear Taringa, dónde está el exploit?
El exploit, hasta donde yo sé y por los reportes que lei no está "in the wild", se estima que para cuando la vulnerabilidad alcance su mitad de vida se a agregar a metasploit y hacer público.
Sin embargo, me pareció copado compartir esto que muchos sysadmins o ingenieros ya debemos estar al tanto, o si sólo sos un usuario regular de Linux, también deberías.
GHOST
GHOST es una "vulnerabilidad" que existe en GNU/Linux hace unos 10 a;os o más (no tengo enie), esencialmente en glibc (GNU Library C), para ponerlo de una forma muy simple, esto es el corazón de un GNU/Linux, sin esto el OS no funca.
Cuál es la vulnerabilidad en sí?
Se descubrió un buffer overflow en la función __nss_hostname_digits_dots() de glibc, que a su vez esto es activado via la función gethostbyname*(), las aplicaciones tienen acceso a la resolución via DNS a través del set de funciones gethostbyname*(). En criollo sería: te pueden ejecutar código local o remotamente.
A cuáles aplicaciones afecta glibc?
caffeine:tmp> lsof | grep libc | awk '{print $1}' | sort | uniq
Ahora, a no paranoiquear, el riesgo es real, muy real, diría que es más groso que shellshock porque afecta a una librería core PERO tenés que ser un recontracapo para poder explotarlo, a un nivel casi Peluchín SSJ5 con toda la facha del Pichi. Sinceramente hay que hilar muy fino como para poder explotarlo, tiene sus limitaciones y formas de mitigarlo por default.
Y además de todo esto, hace horas que se descubrió la forma de explotarlo como todas las cosas buenas del opensource, ya tenemos forma de parchearlo.
Las versiones afectadas son:
RHEL (Red Hat Enterprise Linux) version 5.x, 6.x, 7.x
CentOS Linux 5.x, 6.x & 7.x
Ubuntu Linux version 10.04, 12.04 LTS
Debian Linux version 7.x
Linux Mint version 13.0
Fedora Linux version 19 y anteriores
SUSE Linux Enterprise 11 y anteriores
Arch Linux glibc version <= 2.18-1
Cómo sé si me afecta?
ldd --version | head -n1
Y te va a decir qué versión de glibc tenés. Si es superior a 2.18 no hay drama. Igualmente, ante la duda te dejo un script muy simple que hice para probar:
#!/bin/bash
wget https://webshare.uchicago.edu/orgs/ITServices/itsec/Downloads/GHOST.c --no-check-certificate
gcc -o ghost GHOST.c
echo "pueden kakearme?"
./ghost
Cómo parcheo?
Debian y Ubuntu son muy simples:
sudo apt-get update && sudo apt-get upgrade
Ojo con Debian, en mi caso en el laburo tengo algunos Debian 4.0 corriendo y estoy hasta las re pelotas porque no tienen soporte ya. Hagas lo que gas NO le agregues repos de otras versiones, vas a hacer pija el server.
Para saber en qué versiones de Debian va a funcar un simple upgrade:
https://security-tracker.debian.org/tracker/CVE-2015-0235
Fedora / Centos / RHEL:
sudo yum clean all && sudo yum update
reboot
https://rhn.redhat.com/errata/RHSA-2015-0092.html
https://rhn.redhat.com/errata/RHSA-2015-0090.html
Quiero kakear Taringa, dónde está el exploit?
El exploit, hasta donde yo sé y por los reportes que lei no está "in the wild", se estima que para cuando la vulnerabilidad alcance su mitad de vida se a agregar a metasploit y hacer público.