Os problemas de segurança dos sistemas Linux surgiram em força durante o ano de 2014. Vários foram os problemas graves e que mostraram as fragilidades de sistemas que se julgavam seguros.
Mas 2015 parece não querer ser diferente do ano anterior e uma nova vulnerabilidade surgiu. O Ghost foi agora anunciado e vem colocar em risco qualquer servidor Linux.
Este novo bug descoberto agora está provavelmente presente em qualquer servidor Linux e representa uma falha de segurança grave. Se devidamente explorado o Ghost consegue dar ao atacante acesso à máquina remota onde depois pode correr qualquer código que entenda.
A falha reside num buffer overflow que é feito na função __nss_hostname_digits_dots() da glibc. Esta função é chamada sempre que outras duas são invocadas – gethostbyname() e gethostbyname2() – e que servem para fazer a tradução de nomes DNS em endereços IP.
Qualquer atacante que consiga invocar uma dessas duas funções consegue explorar a falha e e executar código aleatório com as permissões do utilizador que está a correr a aplicação.
Por o GCC ser uma ferramenta que é usada em quase todos os sistemas Linux a falha tem um impacto grande e está de certeza presente na maioria dos servidores onde este sistema corre.
Não existe também um serviço específico onde o problema se manifeste, estando mais uma vez presente na maioria dos serviços que esses servidores alojam, desde o email até às páginas web.
O Ghost e o problema que apresenta pode ser entendido no vídeo que apresentamos abaixo, da autoria do investigador que descobriu este problema.
A falha foi detectada numa avaliação de segurança da empresa Qualys que a anunciou. Antes de tornar público o Ghost, a Qualys contactou e trabalhou de perto com as equipas das principais distribuições Linux para que fossem disponibilizadas actualizações ao GCC e às bibliotecas afectadas por este problema.
Segundo o que foi descoberto o problema existe há já alguns anos, com a versão do GCC onde primeiro se manifesta a ser a 2.2 (glibc-2.2), lançada a 10 de Novembro de 2000.
As actualizações dos diferentes sistemas estão na sua maioria disponíveis É por isso importante que todos os sistemas sejam actualizados, mesmo os mais recentes. As actualizações de segurança começaram a ser disponibilizadas no dia 27 de Janeiro.
A interligação e a dependência dos sistemas Linux com o GCC é grande, sendo esta biblioteca essencial para o funcionamento dos sistemas. A sua presença nos servidores Linux é quase certa na sua quase totalidade.
A necessidade de reiniciar os sistemas após a instalação da nova versão do GCC será com certeza um entrave à sua rápida actualização, mesmo isso deixando os sistemas vulneráveis.
Reforçamos da necessidade de instalação das actualizações ao GCC que todas as distribuições Linux lançaram, para que os sistemas fiquem protegidos e sem a vulnerabilidade que o Ghost representa.