GNU lib C kwetsbaarheid CVE-2015-7547

GNU lib C kwetsbaarheid CVE-2015-7547

DearBytesAlertsGNU lib C kwetsbaarheid CVE-2015-7547

Wat is er aan de hand?

Op dinsdag 16 februari is er een ernstige kwetsbaarheid in GNU lib C (Glibc) door Google Security Team bekend gemaakt. De Glibc bibliotheek is een standaard onderdeel van veel Linux distributies. De kwetsbaarheid heeft het unieke nummer CVE-2015-7547 gekregen.

DNS antwoorden van een malafide DNS-server of man-in-the-middle kunnen een “buffer overflow” veroorzaken. Het gaat hierbij om de getaddrinfo() functie in de bibliotheek. Applicaties die gebruik maken van getaddrinfo() zouden misbruikt kunnen worden om controle te verkrijgen over het systeem.

Meer technische details over het lek zijn te vinden op het blog Google Security Team: https://googleonlinesecurity.blogspot.nl/2016/02/cve-2015-7547-glibc-getaddrinfo-stack.html

Waarom is dit belangrijk?

Glibc is een standaard C bibliotheek. Dit betekent dat een groot aantal Linux distributies en applicaties gebruik maakt van de bibliotheek en ook van de kwetsbare functie. Glibc/Linux wordt niet alleen gebruikt in servers en werkstations, maar ook in apparaten die gebaseerd zijn op Linux (CCTV, routers, terminals, IoT, etc.).

Note: er gaan geruchten dat Android en IOS ook kwetsbaar zouden zijn. Maar omdat Android en IOS standaard geen gebruik maken van Glibc, lijken/zijn die geruchten ongegrond.

Op wie is dit van toepassing?

Alle versies van Glibc vanaf versie 2.9 zijn kwetsbaar, Glibc wordt in elk geval in de volgende Linux distributies gebruikt :

  • Red Hat Enterprise Linux 6 & CentOS 6 RHSA-2016:0175-1
  • Red Hat Enterprise Linux 7 & CentOS 7 RHSA-2016:0176-1
  • Debian Squeeze, Wheezy, Jessy & Stretch CVE-2015-7547
  • Ubuntu 12.04 & 14.04 CVE-2015-7547

Wat kunt u doen?

Voor Red Hat Enterprise Linux 7, Debian en sommige versies van Ubutu zijn patches beschikbaar gesteld. DearBytes adviseert deze patches zo snel mogelijk te installeren.
Na het updaten zult u het systeem moeten herstarten of de services die gebruik maken van Glibc herstarten.

De volgende issue trackers zijn beschikbaar om te volgen in hoeverre uw distributie gepatcht is.

Wat doet DearBytes?

DearBytes onderzoekt welke technologieën van onze partners kwetsbaar zijn. Zodra daar meer over bekend is, zullen wij hiervan melding maken op onze website inclusief eventuele mitigerende maatregelen. Tevens zullen wij desbetreffende klanten via email informeren.

Voor klanten waar DearBytes het beheer uitvoert van vulnerability management, zullen wij een inventarisatie maken van de kwetsbare systemen en deze rapportage met u delen.

Voor klanten waar DearBytes het beheer uitvoert van Intrusion Prevention / Detection zullen, zodra deze beschikbaar zijn, detectieregels worden geactiveerd om misbruik te herkennen en, na uw akkoord, te blokkeren.

Het DearBytes Incident Response Team is continu in staat van paraatheid om u te helpen. Neem telefonisch contact op voor de snelst mogelijke inzet.