PplWare Mobile

Bug grave do compilador GCC Linux deixa servidores vulneráveis

                                    
                                

Este artigo tem mais de um ano


Autor: Maria Inês Coelho


  1. Tiago Batista says:

    Caros, a vulnerabilidade está na implementação do glibc, não go gcc.

  2. JJ says:

    O que eu acho interessante nestas descobertas, é que apesar de serem corrigidas com actualizações, são falhas que já existem quase desde sempre.

    E são prova evidente, que o sistema Linux nunca foi interessante por parte de hackers, provavelmente por ter uma cota de mercado muito baixa. Caso contrario, o sistema tinha enfrentado mais problemas ao longo da sua vida.

  3. JMCS says:

    Um coisa é o compilador e outra coisa é a biblioteca de funções!

  4. Carlos says:

    Acredito que para explorar essa falha iria precisar da autenticação do usuario, no linux existe um forte permissionamento pras coisas, o que não tornaria muito fácil explorar um servidor.

    ja saiu a atualização pra corrigir esse problema?

      • Andrey Oliveira says:

        No repositório do código fonte da biblioteca a correção saiu em 2013, mas na maioria das distribuições usadas em servidores de produção, a correção para o pacotes saiu só dia 27/01/2015.

        A menos que você tenha compilado a biblioteca a partir dos fontes, o que provavelmente não o fez, você estava vulnerável.

        • TuxPT says:

          Posso-te garantir que não estava…

          Segundo o changelog do Arch (https://projects.archlinux.org/svntogit/packages.git/log/trunk?h=packages/glibc) o glibc 2.18 foi disponibilizado em Agosto de 2013 (já com o fix portanto). Desde essa altura que estou protegido.

          Não percebo como há distro que ainda usam glibc 2.5, 2.6 e 2.10…. Mas isso são outros 500.

          • Andrey Oliveira says:

            Arch Linux é excessão, por que é rolling release.

            Mas a participação dele em servidores de produção e de serviços que são homologados para ele são bem menores que as distribuições tradicionais.

            Segue a lista de distribuições afetadas até dia 27/01/2015.

            RHEL (Red Hat Enterprise Linux) version 5.x, 6.x and 7.x
            CentOS Linux version 5.x, 6.x & 7.x
            Ubuntu Linux version 10.04, 12.04 LTS
            Debian Linux version 7.x
            Linux Mint version 13.0
            Fedora Linux version 19 or older
            SUSE Linux Enterprise 11 and older (also OpenSuse Linux 11 or older versions).
            SUSE Linux Enterprise Software Development Kit 11 SP3
            SUSE Linux Enterprise Server 11 SP3 for VMware
            SUSE Linux Enterprise Server 11 SP3
            SUSE Linux Enterprise Server 11 SP2 LTSS
            SUSE Linux Enterprise Server 11 SP1 LTSS
            SUSE Linux Enterprise Server 10 SP4 LTSS
            SUSE Linux Enterprise Desktop 11 SP3
            Slackware 14.1

          • TuxPT says:

            Não estou a dizer que não tens razão, só estou a dizer que estou protegido há muito tempo. Felizmente, não vejo nessa lista nem Gentoo, nem Arch.

            O pessoal gosta de usar versioning distros, eu não gosto, e simplesmente desaconselho. Até em servidores.

    • Andrey Oliveira says:

      É um falha que pode ser explorada remotamente, sem autenticação.

      É uma falha com resolução de nomes, muito provavelmente você manda o servidor resolver um nome com algum caractere de escape que faz com que seja convertido em um código abitrário em memória.

  5. Carlos says:

    É mais uma machadada no mito dos muitos olhos.

    A teoria é boa, na prática fica claro que ninguém realmente olha para o código.

    • Pedro says:

      Para complementar a notícia: o bug já estava identificado há muito, apenas não estava classificado como crítico e como tal não era resolvido, apenas a Google o fez no Chrome OS.

      • TuxPT says:

        Identificado e *corrigido*… Há 2 anos!

      • Andrey Oliveira says:

        Não foi só o Google, muita gente corrigiu, como o Arch Linux, Ubuntu 14 e muitos outros.

        Porém muitas distrubições mais conservadoras como o Centos e RH que demoram a liberar versões novas dos pacotes ainda estavam vulneráveis, além de versões mais antigas mas ainda suportadas como o caso do do Ubuntu 12.10.

    • Xinuo says:

      Perceba que a Qualys, a empresa que alertou sobre o problema, descobriu isso, porquê estava fazendo auditoria no código fonte.

      Se não tivesse o código fonte ficaria bem mais difícil descobrir determinados bugs.

      Em suma, o que disseste é na verdade um contra-argumento, pois com mais os olhos da Qualys, foi encontrado o bug.

      Em tempo: na verdade o bug foi corrigido há anos atrás, a Qualys descobriu como explorar o bug, que na época da descoberta não foi classificado crítico, pois não se sabia como explorá-lo (e nem se sabe ainda, pois a Qualys não revelou).

  6. PsySc0rpi0n says:

    Como e onde sabemos se este bug já foi corrigido?

    • Xinuo says:

      O bug foi corrigido há 2 anos atrás. Algumas distribuições, normalmente usadas em servidores é que demoraram a corrigir, pois o bug, quando foi descoberto, não foi considerado crítico.

      Só agora em jan/2015 é que o bug foi reclassificado como crítico, pois uma empresa (Qualys) que estava fazendo auditoria no código fonte, descobriu uma maneira de explorar a falha de modo contundente. Assim reclassificado, as distribuições, que não tinham corrigido, lançaram as versões da glib com correção.

      Se estás a usar uma distribuição de desktop (Fedora, Ubuntu, OpenSuSE, etc.) provavelmente já está atualizada (desde que seja uma instalação e versão recente <2 anos). Se estás a usar uma distro de servidor (RedHat, CentOS, Debian, Ubuntu LTS, SuSE, etc.), basta que atualize a glibc e o kernel (mas já que vai ser necessário boot é bom atualizar tudo que tenha para atualizar).

  7. Ricardo Moura says:

    O pplware deveria ponderar se deve ou não escrever noticias sobre segurança no futuro. Não mandam uma para a caixa. Que desastre…

    • PsySc0rpi0n says:

      E a que se deve esse infeliz comentário? Fazes melhor? Ainda não vi nada!
      Se não gostas, porque te dás sequer ao trabalho de cá vires??? Principalmente para colocar posts destes quem em nada contribuem para a comunidade. Ao menos explica-te, mas dá-te ao respeito pelas pessoas que tentam fazer o melhor que sabem/podem!

      Já todos sabemos que o bug é no (lib)glibc. De resto, não vejo o propósito do teu comentário descabido!

  8. José Maria Oliveira Simões says:

    Durante a ultima actualização do Lubunto, aquando do update do kernel, no terminal apareceram varios erros de memory leak. A maquina ficou lenta a partir do reboot, parece que fica a mastigar durante o arranque. No log, aparecem bastantes erros.

Deixe um comentário

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.