Se ha descubierto una vulnerabilidad crítica en la libreria GNU C (glibc), un componente utilizado por la mayoría de las distribuciones GNU/Linux, que podría permitir que un atacante pueda tomar fácilmente el control de un sistema Linux, ya sea un ordenador de sobremesa o uno de los muchos servidores que usan este sistema, sin ser descubierto y sin la necesidad de obtener primero las credenciales de acceso como la contraseña o el nombre de usuario del administrador.
Este fallo de seguridad, al que se le ha asignado el código CVE-2015-0235 y el apodo “Ghost”, ha sido descubierto por investigadores de la empresa de seguridad Qualys, quienes aseguran que puede suponer un enorme peligro en aquellos equipos y servidores que no usen las últimas versiones de sus distribuciones Linux, y que podría llegar a estar a la altura de otros bugs críticos como Heartbleed Shellshock o Poodle.
¿Qué hace Ghost?
Ghost afecta a glibc a partir de su versión 2.2 lanzada en el año 2000, y puede ser activado aprovechándose de su función gethostbyname, que es utilizada por casi todos los ordenadores con Linux cuando intentan obtener el acceso a otro equipo a través de la red, ya sea a través de los archivos /etc/hosts como a través de un DNS.
Según los investigadores de Qualys, el gran peligro de esta vulnerabilidad reside en la facilidad con la que un atacante puede explotarla, ya que con sólo enviar un correo electrónico a un ordenador con Linux podría tener un acceso total al equipo. La librería glibc es una de las más populares de Linux, y es utilizada en componentes tan populares como Apache, Sendmail, MySQL o Samba, por lo que podría poner en peligro la integridad de miles de páginas web en la red.
Sólo para las distros menos actualizadas
Pero antes de que empecéis a llevaros las manos a la cabeza y a criticar que Linux no es tan seguro como todo el mundo dice, cabe mencionar que la propia empresa Qualys ha encontrado que este bug ya fue resuelto a partir de las versiones glibc-2.17 y glibc-2.18 lanzadas en mayo del 2013. El problema es que el fix no fue catalogado como un problema de seguridad, por lo que no fue implementado en muchas distribuciones LTS como Debian 7, Ubuntu 12.04 o CentOS 6 y 7.
Los responsables de las distribuciones afectadas ya están trabajando en las soluciones, por lo que si sois de los que utilizan sistemas operativos ligeramente anticuados es extremadamente importante que los actualicéis cuanto antes. Pero si por el contrario sois de los que mantienen sus equipos siempre actualizados y con versiones recientes de vuestros sistemas operativos no deberíais tener ningún tipo de problema.
Como sabemos que en Genbeta tenemos un buen número de usuarios expertos en Linux a los que les gusta saber todos los detalles de este tipo de asuntos, podéis encontrarlos en el propio post lanzado por Qualys
Vía | Qualys
En Genbeta | Así han cambiado las distros Linux desde el año 2003
Ver 17 comentarios
17 comentarios
jayjayjay_92
Me parece algo sensacionalista como redactas la noticia:
"Podría permitir que un atacante pueda tomar fácilmente el control de un sistema Linux"
Hombre, facilmente... Tiene que tener código vulnerable, en la librería Y en la aplicación. Hasta ahora el único servicio realmente vulnerable es EXIM.
Escribir:
"es utilizada en componentes tan populares como Apache, Sendmail, MySQL o Samba, por lo que podría poner en peligro la integridad de miles de páginas web en la red"
Cuando dicen:
Y sobre todo que escribas:
Cuando todas las distribuciones que mencionas ya tienen parches desde ayer...
atoi
El commit [1] simplemente dice "Fix parsing of numeric hosts in gethostbyname_r". Increíble que a nadie se le pasó por la cabeza que un overflow en una función que parsea paquetes de red tiene chances de ser un problema de seguridad.
[1] http://sourceware.org/git/?p=glibc.git;a=commit;h=d5dd6189d506068ed11c8bfa1e1e9bffde04decd
zakatolapan
¿Alguien tiene un programa para verificar fácilmente si el sistema está afectado? (que no sea por la versión porque aunque sea vieja puede estar parchada)
jakeukalane0
A mí me interesa mucho esta frase:
"During a code audit performed internally at Qualys"
Eso es lo guay del software libre. Cuando se dice que el software libre es más seguro es por cosas como esta. Si fuera cerrado no habrían podido hacer una auditoría del código y por lo tanto seguirían usando software no seguro (además, que ya estaba arreglado).