TECNOLOGíA, INTERNET, JUEGOS
227 meneos
1868 clics

Linux: Una vulnerabilidad de ejecución remota de código en glibc [EN]

El blog de seguridad online de Google da a conocer un problema de seguridad en la biblioteca de C de GNU. El resolver DNS del lado cliente es vulnerable a un desbordamiento de buffer de pila cuando se utiliza la función getaddrinfo(). Los programas que utilicen esta función pueden ser explotados con nombres de dominio o servidores DNS controlados por un atacante, o a través de un ataque man-in-the-middle.

| etiquetas: seguridad , linux , glibc , vuln , cve-2015-7547
104 123 6 K 418
104 123 6 K 418
Comentarios destacados:                  
#2 #1 ¡Debería implosionar, el descubridor es el hacker español Fermín J. Serna! ¡Bravo Fermín! Esto es #MARCAESPAÑA

El crack:

www.linkedin.com/in/fjserna
twitter.com/fjserna
sudo apt-get update
sudo apt-get upgrade
#4 te faltò sudo apt-get dist-ugrade
#5 ¿es necesario?
#7 En este caso no. Dist-upgrade añade y quita paquetes si es necesario y gestiona conflictos con versiones. Para actualizar los paquetes con nuevas versiones parcheadas, upgrade es suficiente.
#9 ok, gracias por la aclaración
#7 No, incluso puede dejarte el entorno de ventanas que uses hecho un desastre. No lo uses a menos que estés bien seguro de lo que haces.
#7 en este caso, falta hacer un reboot, o service restart de lo que esté en marcha.
#5 Te faltó la p de upgrade.
#22 normalmente le doy a la tecla tab y no escribo el comando entero, o al history y tal :-)
#4 Inicio. Apagar e instalar actualizaciones.
Dos comandos versus dos clics. Minipunto para Windows.
#47 tu argumento es invalido y además cae por su propio peso, buen intento.
linux wins again.
Ni siquiera hay que reiniciar el sistema linux
#49 Si tú lo dices...
#54 don't reboot just patch, cantan por ahí
#52 ¿en qué te toca los huevos? Siempre lo he tenido en automático y nunca me molestó más allá de alguna vez, generalmente una al mes, al apagar darle y antes de apagar actualizar, cosa que se puede saltar si quieres.

Curioso que te quejes de algo que te afecta sólo si tu windows es pirata.

#49 Anda que no. A según lo que se actualice pero no hace ni un mes que tuve que reiniciar Lubuntu.
#53: Desde Windows 10 ahora existe PackageManagement / OneGet. Bajo PowerShell, claro.
Puede instalarse desde 7 en adelante con WMF 5.0.

#56: GWX.
#56 Ejemplos hay muchos, pero yo es que soy un poco vago, aquí tienes uno
www.meneame.net/story/ultima-actualizacion-microsoft-windows-7-8-1-kb3
Puedes preguntarle al del comentario 3, que parece que lo tiene bien claro.
#67 No sé si es por el núcleo o por qué pero Lubuntu me lo pide en bastantes actualizaciones, diría que una de cada tres.

#65 Actualizaciones que provocan fallos las tienes en todos los sistemas operativos, en linux también, algunas te dejan sin sistema gráfico...
Con tocar los huevos me refiero a cosas como que te esté todo el día lanzando mensajes de "actualiza, actualiza" o algo intencionado que moleste, no a que una actualización te casque el sistema, que eso ocurre en todos.
#68 depende de cuán a menudo actualices. Si lo haces de ramos a pascuas vas a tener que reiniciar siempre porque Linux (el núcleo) ya tendrá alguna actualización menor, claro, pero si actualizas de forma más o menos regular pocas veces tienes que reiniciar.
#69 Pues va a ser eso porque el ordenador normalmente no lo uso yo.
#56 solo hay que reiniciar GNU/Linux si la instalación afecta al núcleo, ya que hay que es imposible actualizar este sin tirar el sistema primero, pero las actualizaciones que afectan al núcleo son muy pocas.
#47 en GNU/Linux lo puedes hacer con dos clics exactamente igual utilizando cualquier gestor de paquetería con interfaz como Ubuntu Software Center, sin embargo, en GNU/Linux no hace falta reiniciar (y esperar a que las actualizaciones se instalen o configuren por segunda vez después del reinicio). Además, da la opción de hacerlo con comandos (si se quiere), que se tarda menos que con clics.
#25 sí, todas las distribuciones tienen sistema de actualizaciones.
#26 Gracias por la aclaración! :-)
#28 pero tarda mas tiempo que buscandolo tu mismo. asique si es igual que windows
#36 xD jajaja "igual que en windows"
#40 Para una persona que no sabe de ordenadores, lo corrijo. es semejante. ahora si estas al dia del mundillo, pues claro que tienes el parche casi desde el primer dia. Pero estaba respondiendo a una persona que tenia dudas.
#36 Claro, en Windows puedes actualizar todos los paquetes del sistema con dos órdenes... :roll:

Se te ve puesto en el tema.
#42 Es que yo no he dicho eso. Como tu si estas puesto en el tema, creo que entenderas que alguien que no esta puesto en el tema, siquiera va a enterarse de este error. ergo no va a meter las 2 ordenes que hay que meter, entonces, se esperan a que el sistema les diga "oie que tengo cosas que actualizar". Que luego linux de media tarda menos?, vale, ¿Que linux tambien tiene errores que llevan años?. tambien.

¿Mascadito mejor?
#43 Mucho mejor. Había leído "tardas", no "tarda".

De todos modos en ambos sistemas puedes activar las actualizaciones automáticas de seguridad y desde luego en esto tampoco Linux es igual a Windows. Puedes encontrar cientos de similitudes entre Windows y Linux pero precisamente una de las mayores diferencias es la gestión de paquetes.
#50 Mil veces mejor, no cabe duda. Mola la sensacion de poder ir añadiendo repositorios y probando programas todo en uno. Explicadito todo. Esta muy trabajado. Claro desde el gestor de ventanas, que yo soy un pijo muy windowsero.
#51 Yo también suelo utilizar Synaptic a no ser que sean dist-upgrades.

Hay algún gestor de aplicaciones para Windows, como Ninite, pero están a años luz debido a las limitaciones del sistema. Aún así son mucho más recomendables que el "gestor" de aplicaciones que trae Windows por defecto.
#25 Esta madrugada sobre las 02:20h me llegó aviso para actualizar glibc desde el repositorio de Ubuntu que utiliza una distribución Linux Mint Rebecca LTS.
;)

CC. #36 Depende de qué distribución...
#0 ¿Que has hecho con @Beoxman?... ¬¬
#12 Mejor que te lo cuente él :-)
#12 No soy el único que usa Linux aquí y se preocupa por enviar noticias de él. Aunque no sean muy buenas ;)

/cc #13
#27 donde se ponga BeOS :roll:
#33 Yo siempre fui más de Plan9.
¿Es aquí donde empieza el flame de que linux también tiene fallos pero que se solucionan rápido al ser abierto?

NO-noticia, bueno, mas bien cansina.
#6 Venga, si quieres vamos a ello. ¡Linux es una mierda! ¡Mucho mejor ReactOS!
#0 He subido yo esta otra notícia donde explican bastante mejor el problema y su alcance. ¿Que hacemos?

www.meneame.net/m/tecnología/error-extremadamente-grave-gnu-linux-dej
Meneame implosiona
#1 ¡Debería implosionar, el descubridor es el hacker español Fermín J. Serna! ¡Bravo Fermín! Esto es #MARCAESPAÑA

El crack:

www.linkedin.com/in/fjserna
twitter.com/fjserna
#2 aka Zhodiac, de los !H de toda la vida... ;)
#0 #1 #2

Ta to controlao...si se encuentra una vulnerabilidad se le pone un -> sourceware.org/ml/libc-alpha/2016-02/msg00416.html y problema resulto, en este caso...tan sólo hace falta hacel click en el enlace para instalar el parche.

Es lo que tiene el software libre.
#8 "Tal que así" (como es habitual) github.com/fjserna/CVE-2015-7547
#8 Una pregunta desde el desconocimiento. En caso de que alguien no sepa aplicar el parche o no se entere de esta vulenrabilidad, hay algo que te avise de que se deba instalar o algo parecido? Tipo actualización de Windows o similar?
#25 La diferencia es que en Windows tienes que tenerlo desactivado para que no toque los huevos constantemente. Además de no poder fiarte de la porquería que te quiere meter Windows como “importante actualización de seguridad”, creo recordar que la estrellita esa de autenticidad lo era.
#2 Esto no es MARCA españa. Es marca emigrante español.
#2 Zhodiac aka Fermin :-D
#2 Espero que como buen Egpañol lo hackease con un palo mientras se comía una tortilla de patatas con/sin cebolla... Ah!!! y con un gato de grafeno impreso en 3D en su regazo.
otro palo para linux
Todavía estoy tratando de cambiar los controles de ventana de la derecha a la izquierda, como para preocuparme por esto. Lo que no entiendo exactamente es que cuando yo quise pegar un ojo, a ver que era eso de C, tuve que instalar GCC. Entiendo que es una de las librerías o headers de C la que tiene un problema, pero yo entiendo que esto no viene instalado por defecto en un usuario de Ubuntu. Por lo demás me parece un poquito irrelevante la noticia, como para ser retirada de portada.
#18 es un compilador. El tema de glibc es que las funciones se usan en todo el sistema generalizando.
#18 glibc es la librería que utilizan todos los programas programados en C. Está en tu sistema aunque no tengas gcc porque la necesitan la mayoría de programas.

Es un bug muy grave porque spoofear una respuesta DNS es trivial al funcionar sobre UDP.
Ok, explicación: el problema (ya solucionado pero hay que actualizar) está en la función que hace consultas de nombres de dominio. O sea que para producir un ataque es necesario:

1) tener un servidor de nombres que de respuestas especialmente manipuladas
2) conseguir que la víctima haga una consulta a ese servidor de nombres

No parece difícil cumplir las dos condiciones. Bastaría con enviar un mail con un enlace. Pero por suerte los routers, televisores, cafeteras, etc. no estarían en peligro…   » ver todo el comentario
#37 Con un enlace no consigues que use tu servidor DNS, los DNS te los facilita tu ISP automáticamente al router y el router a tí, a menos que los hayas cambiado por unos estáticos como los de Google u OpenDNS, en cuyo caso sigues sin usar el DNS malicioso. Para usar ARP poisoning o algo así, ya estamos hablando de hackeos a nivel de red local.

Aun suponiendo que se consiga una ejecución remota de código, se hará con el usuario actualmente logueado en el sistema, normalmente un usuario normal…   » ver todo el comentario
#38 ¿De donde obtendria el resto del internet los nombres de dominio de tu servicio sino de tus propios servidores DNS? (o en el mayor de los casos, de tu proveedor de nombres de dominio como godaddy). La descripcion de google habla de limitarlo mediante otro dns (como dnsmasq), pero no menciona que esto se haga por defecto. Es decir, tu servidor de DNS te envia sin problemas la respuesta del servidor DNS malicioso si necesitas consultar un nombre de dominio alojado en este.
Sobre android, no estoy seguro de cuantas aplicaciones utilizan glibc; hay otras alternativas mas ligeras y hasta donde tengo entendido, android evita la userland de GNU.

Pues vamos, que hay que actualizar. Me compadezco de quienes utilizan Gentoo.
#37 es trivial de hacer, porque sobre udp es muy facil enviar una respuesta con una ip falsa.

Solo tenemos que estar en la misma red y en cuanto vea una petición udp tuya (harás muchas por minuto) solo tengo que responder haciendome pasar por tu DNS
Meneame desfasadisimo. El blaster debe ser un 0 day para muchos meneantes.
Lo habrá puesto ahí Linus Torvalds con la complicidad de la NSA como hacen Apple y Microsoft, no hay otra explicación.
#23 un plátano bolígrafo
#23 Si claro...
www.lavozdegalicia.es/noticia/tecnologia/2016/02/17/apple-niega-desblo

Igual de fácil lo tienen que si fuera un cutre-android...
apt-get dist-upgrade
Obj security.debian.org jessie/updates/main
Des:3 security.debian.org jessie/updates/main libc-bin
Des:3 security.debian.org jessie/updates/main libc6
Preparando para reemplazar libc-bin
Preparando para reemplazar libc6
Desempaquetando el reemplazo de libc-bin ...
Desempaquetando el reemplazo de libc6 ...
Procesando disparadores para man-db ...
ldconfig deferred processing now taking place
Procesando disparadores para libglib2.0-0 ...
Procesando disparadores para ureadahead ...
Procesando disparadores para libc-bin ...
ldconfig deferred processing now taking place
pepe@gnulinux:)
#55 Como moláis los usuarios de Linux, ponéis lo que saca un comando por vuestra pantalla porque es super interesante para todos los demás, y eso demuestra que sois chachis por usar Linux.
#62 No, demuestra que en el tiempo que dura esta noticia en portada ya tenemos el sistema actualizado y el error subsanado. Y no somos chachis pirulis, somo la rehostia por no vivir tanto en los mundos de Yupi.
#64 Para demostrar que tú no vives en los mundos de Yupi y nosotros sí no hace falta poner la salida de tu consola de comandos. Pero esos comportamientos solo me sirven para reafirmarme cada día más que usar Linux, más que como una utilidad, lo hacéis para estar en un grupo minoritario que se dedica más a hablar de Linux y de lo guay que es que usarlo como un mero SO. A mi parecer es como un juguete para vosotros con el que cacharrear.
#71 La salida de la consola ilustra muy bien lo simple, rápido y efectivo que resulta la actualización del sistema con GNU/Linux y demuestra que en menos que canta un gallo la comunidad soluciona un problema en cuanto se descubre. Cosa que en otros sistemas cerrados depende de la voluntad de la empresa desarrolladora. Como sabrás, en bastantes casos no han actualizado errores importantes por, entre otras cosas, cuestiones de imagen del sistema o de la empresa.

Uso exclusivamente Linux como SO…   » ver todo el comentario
#72 Vulnerabilidad que existe desde el 2008, descubierta en julio de 2015 y arreglada este mes. Siete meses tardaron porque creo que estaban discutiendo sobre si era muy grave, poco grave... pero dices que el software libre corrige un problema en menos de que canta un gallo y no dependes de la voluntad de la empresa desarrolladora, que viene a ser la que pone el parche al alcance de todos vía actualización, y que es la responsable de ese " apt-get dist-upgrade" que pegaste en el otro comentario, porque actualizar fue lo que tú hiciste, nada más.

A lo mejor #71 tiene un poco de razón.
#73 Vamos a ver... Transparencia. Las vulnerabilidades se corrigen cuando se encuentran, si. A veces puede pasar mucho tiempo hasta que eso sucede. Que pasen 7 meses desde la primera advertencia hasta que alguien, en este caso google/redhat, se dan cuenta de la gravedad del problema no es lo deseable, pero son cosas que pasan. Lo que podemos confirmar, y por eso lo de transparencia, es que en cuanto se da la voz de alarma sobre lo crítico del fallo, en menos que canta un gallo lo tenemos…   » ver todo el comentario
#74 no intentes justificar lo injustificable.

Se dan cuenta de un fallo y no se enteran de lo grave que es hasta pasados siete meses. No se enteran (mal) ni lo corrigen (mal) porque ¿para que? es mejor discutir sobre su gravedad que corregirlo y ya. Esto que es malo, tu me lo vendes como bueno.

Transparencia ¿para que? ¿Para ver como se tiraron siete meses sin corregirlo?

Despues vienen las puertas de windows, con ellas los problemas de linux ya son menos.
Va a ser que no, que el otro sea malo no hace bueno al primero, solo significa que los dos son malos.
#75 Si claro, claro los dos son malos pero tú usas? Ya me imagino. Y como del que usas no se sabe nada de nada de sus errores críticos y os conformais con que acabe de actualizar al apagar con una pantalla en la que nada podeis ver de lo que hace... Que por lo menos yo pongo ap-get y tal y lo veo. Tu vives tan contento y feliz esperando a que se apague. Y yo voy y me lo creo porque muchos sois así. GNU/Linux está hecho por y para la comunidad y ese es vuestro problema. Temblad malditos!!!!. Por cierto, yo no he nombrado al windows ese para nada.
#76 blasfema lo que quieras contra windows, eso no cambiara que en linux hayan tardado siete meses en resolver el bug y tu hayas quedado como un lelo presumiendo de una rapidez que no existe.

Lo de que tu pones apt-get y lo ves, confirma lo que te decia el otro de que vives en los mundos de yupi.

Pd. Que tu no te enteres de que van los errores criticos de windows, no significa que los demas tampoco se enteren. Me la juego a que tu ni sabias que este de linux se descubrio hace siete meses, asi que fijate cuan desinformado estas, y eso que miras el apt-get :-D
#77 Vuelvo a decirte que yo no he mencionado al windows ese para nada. En cualquier caso creo que nuestros puntos de vista han quedado perfectamente claros como me queda claro que en cuanto salió este tema ya eras conocedor desde Julio de 2015 (bugzilla.redhat.com/show_bug.cgi?id=1293532). En fin, lo que ya he dicho antes, que cada uno sea feliz con su secuestro particular y presuma del Síndrome de Estocolmo que quiera.

youtu.be/4XEp-mZ2bG4
#78 "yo no he mencionado al windows ese para nada"

Te pasas los comentarios diciendo "no como en los sistemas cerrados/propietarios" "Tu vives tan contento y feliz esperando a que se apague" A lo mejor hablabas de Mac, en cuyo caso mis disculpas...

...Vamos, no me me jodas.

" ya eras conocedor desde Julio de 2015"

No, no era conocedor, me enteré ayer al mira ¿por qué habría de conocerlo? Y tú parece que te enteraste cuando te lo dije yo.
Si vais a publicar cualquier error que salga, poned un enlace al git con una chincheta, acabáis antes. :-|

Ahora en serio, está bien avisar de errores graves, especialmente en servicios publicados hacia internet (ssh, openssl, proftpd, apache, nginx, bind, dnsmasq, etc...), estas cosas suelen estar parcheadas de un día para otro y no hay mucho margen para que alguien se curre un ataque masivo que realmente pueda tener algún impacto.
comentarios cerrados

menéame