CVE-2015-0235:Linux glibc高危漏洞的检测及修复方法

这几天复习运维知识,也没怎么关注业界新闻,可等我一关注,又“捅娄子”了,Linux继上次CVE-2014-6271漏洞爆发以来,再次爆发一个严重漏洞:CVE-2015-0235-Linux glibc高危漏洞,正在使用Linux系统的个人或企业,看到消息请立即修复!

下面是我转载的检测和修复方法,我个人服务器Centos 6.5已成功修复:


一、漏洞概述

2015/01/28【CVE 2015-0235: GNU glibc gethostbyname 缓冲区溢出漏洞 】全面爆发,该漏洞的产生是Qualys公司在进行内部代码审核时,发现了一个在GNU C库(glibc)中存在的__nss_hostname_digits_dots函数导致的缓冲区溢出漏洞。这个bug可以通过gethostbyname *()函数来触发,本地和远程均可行。该漏洞(幽灵漏洞)造成了远程代码执行,攻击者可以利用此漏洞远程获取系统进程当前的权限。

幽灵漏洞是Linux glibc库上出现的一个严重的安全问题,他可以让攻击者在不了解系统的任何情况下远程获取操作系统的控制权限。目前他的CVE编号为CVE-2015-0235。

什么是glibc

glibc是GNU发布的libc库,即c运行库。glibc是linux系统中最底层的api,几乎其它任何运行库都会依赖于glibc。glibc除了封装linux操作系统所提供的系统服务外,它本身也提供了许多其它一些必要功能服务的实现。glibc 囊括了几乎所有的 UNIX 通行的标准。

出现了什么漏洞

代码审计公司Qualys的研究人员在glibc库中的__nss_hostname_digits_dots()函数中发现了一个缓冲区溢出的漏洞,这个bug可以经过 gethostbyname*()函数被本地或者远程的触发。应用程序主要使用gethostbyname*()函数发起DNS请求,这个函数会将主机名称转换为ip地址。

更多的细节可以从下面的视频中看到(一堆鸟语,听不懂):
[youku]XODgxMTg1NDY4[/youku]

漏洞危害

这个漏洞造成了远程代码执行,攻击者可以利用此漏洞获取系统的完全控制权。

漏洞证明

在我们的测试中,我们编写了一个POC,当我们发送一封精心构造的电子邮件给服务器后,我们便可以获得远程Linux服务器的shell,这绕过了目前在32位和64位系统的所有保护(如ASLR,PIE和NX)。

我们能做什么?

给操作系统及时打补丁,我们(Qualys)已与Linux发行商紧密合作,会及时发布补丁。

为什么叫做GHOST?

因为他通过GetHOST函数触发。

哪些版本和操作系统受影响?

第一个受影响的版本是GNU C库的glibc-2.2,2000年11月10号发布。我们已找出多种可以减轻漏洞的方式。我们发现他在2013年5月21号(在glibc-2.17和glibc-2.18发布之间)已经修复。不幸的是他们不认为这是个安全漏洞。从而导致许多稳定版本和长期版本暴露在外,其中包括Debian 7 (wheezy),Red Hat Enterprise,Linux 6 & 7,CentOS 6 & 7,Ubuntu 12.04等。

以上内容摘自:360安全播报平台

二、检测方法

检测方法1【RedHat官方检测方法】:

CVE-2015-0235:Linux glibc高危漏洞的检测及修复方法

ghost_check.sh源码(张戈亲测:推荐使用这种方法来测试更加准确!):

检测方法2【简单的检测方法】:

CVE-2015-0235:Linux glibc高危漏洞的检测及修复方法

检测方法3【二进制检测方法】:

CVE-2015-0235:Linux glibc高危漏洞的检测及修复方法

ghost.c源码:

三、修复方法

①、在线修复方案

CentOS, Red Hat, Fedora等系列衍生版本(RHN建议):

Debian, Ubuntu等系列衍生版本:

②、离线修复方案

I. Centos6.5离线补丁

先检查本地glibc包安装了哪些相关包

CVE-2015-0235:Linux glibc高危漏洞的检测及修复方法

然后,到阿里源下载对应版本

进行后台断点下载补丁包

使用yum本地安装

或是rpm安装

CVE-2015-0235:Linux glibc高危漏洞的检测及修复方法

II. Red Had系列衍生版本

使用方法:参考上文【Centos6.5离线补丁】的修补方法。

离线包下载地址:

http://mirrors.aliyun.com/centos/7/updates/x86_64/Packages/glibc-2.17-55.el7_0.5.i686.rpm

http://mirrors.aliyun.com/centos/7/updates/x86_64/Packages/glibc-2.17-55.el7_0.5.x86_64.rpm

四、修复检测

①、ghost_check.sh脚本检测

CVE-2015-0235:Linux glibc高危漏洞的检测及修复方法

②、ghost.c脚本检测

CVE-2015-0235:Linux glibc高危漏洞的检测及修复方法

注意:打好补丁后必须立即重启操作系统,否则会造成应用业务无法使用。

五、参考来源

redhat官方:https://access.redhat.com/articles/1332213

redhat官方补丁介绍:

https://rhn.redhat.com/errata/RHSA-2015-0090.html

https://rhn.redhat.com/errata/RHSA-2015-0092.html

ubuntu官方补丁介绍: http://www.ubuntu.com/usn/usn-2485-1/

发表评论

gravatar

:?::razz::sad::evil::!::smile::oops::grin::eek::shock::???::cool::lol::mad::twisted::roll::wink::idea::arrow::neutral::cry::mrgreen:

刷新评论

目前评论:14   其中:访客  12   博主  2

  1. 必分享 3 来自天朝的朋友 谷歌浏览器 Windows 7 广东省佛山市 电信

    不会是每个系统都会有这个吧,那我是不是得马上修复。

    • 张戈 [博主] 来自天朝的朋友 谷歌浏览器 Windows 8.1 广东省深圳市 电信

      2000年发行以来的版本应该都有,修复也不难,赶紧修复重启下。

      • 沃主题商店 5 来自天朝的朋友 谷歌浏览器 Windows 7 四川省成都市 电信

        额,是直接重启就修复了,不用yum安装?

  2. 动漫资讯 5 来自天朝的朋友 谷歌浏览器 Windows 7 广东省中山市 电信

    博主的博客越来越完美了啊

  3. 小武 6 来自天朝的朋友 谷歌浏览器 Windows 8.1 辽宁省大连市 电信

    收到阿里云的邮件了,提示的就是这个漏洞。。

  4. 沃主题商店 5 来自天朝的朋友 谷歌浏览器 Windows 7 四川省成都市 电信

    O(∩_∩)O哈哈~

    刚收到阿里云的短信,信号是centos ,直接yum安装

  5. 厦门微信营销 3 来自天朝的朋友 谷歌浏览器 Windows XP 福建省厦门市 电信

    支持支持!!

  6. 梦想网络 5 来自天朝的朋友 火狐浏览器 Windows 10 四川省成都市 电信

    好久没来了,过来冒泡。。

  7. 艾博 0 来自天朝的朋友 火狐浏览器 Windows 8.1 广西柳州市 电信

    内页还可以访问

    • 张戈 [博主] 来自天朝的朋友 谷歌浏览器 Windows 8.1 广东省深圳市 电信

      转入阿里云备案中

  8. 社新社 0 来自天朝的朋友 Internet Explorer Windows XP 浙江省杭州市 华数宽带

    博客终于打开了。

  9. 清知枫 3 来自天朝的朋友 谷歌浏览器 Windows 7 河南省郑州市 电信

    tomcat也爆漏洞了,官方给的方法也是升级到最新版本,坑啊,还不知道新版本稳定不!

  10. 自动化运维 0 来自天朝的朋友 谷歌浏览器 Windows 8 北京市 电信通

    需要之,写的不错,请求加友链

  11. 日本高速主机 1 来自天朝的朋友 谷歌浏览器 Windows 7 四川省绵阳市 电信

    我是来拜年的!

加载中,请稍候...