Уязвимость GHOST в Linux обнаружили спустя 14 лет » SFW - приколы, юмор, девки, дтп, машины, фото знаменитостей и многое другое.

Мир свободного софта поразила ещё одна критическая уязвимость, которой присвоено собственное имя: GHOST («призрак»). Дыра существует в Linux-системах, использующих библиотеку Glibc (GNU C Library), начиная с версии glibc-2.2 от 2000 года.

С помощью GHOST злоумышленник способен с удивительной лёгкостью (например, отправив письмо по электронной почте) получить полный контроль над компьютером жертвы, не владея заранее никакой информацией об учётных данных. Потенциально уязвимыми к GHOST называют почтовые серверы, MySQL-серверы, Secure Shell серверы, приложения обработки веб-форм и др.

Удалённое выполнение произвольного кода в системе происходит после переполнения буфера в функции __nss_hostname_digits_dots(), которую, в свою очередь, используют функции gethostbyname() и gethostbyname2() библиотеки Glibc.

Версия glibc-2.2 выпущена 10 ноября 2000 года. Баг исправлен патчем между релизами glibc-2.17 и glibc-2.18. К сожалению, его не классифицировали как патч безопасности, так что почти все популярные дистрибутивы с долговременной поддержкой остались на старой «стабильной» версии glibc. Среди них Debian 7 (Wheezy), Red Hat Enterprise Linux 6 & 7, CentOS 6 & 7, Ubuntu 12.04 и другие.

Источник : https://xakep.ru

ALF

13:46:43 02.02.15

Vamax

13:52:45 02.02.15

Свідомий

13:58:56 02.02.15

sergsum

14:07:32 02.02.15

Justt

14:09:39 02.02.15

tifo

14:22:03 02.02.15

anub4iK

14:38:22 02.02.15

SyS

14:46:55 02.02.15

D.A.L.L.A.S

14:49:57 02.02.15

val43

14:55:38 02.02.15

1234

Rolls-Royce Ghost

Критическая уязвимость в Microsoft DirectX

Видеоуроки Linux_Debian_and_Ubuntu

Ghost Rider

Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

Лучшие комментарии

#---

sergsum

02-02-2015 14:00

Показать / Скрыть текст

#---

Свідомий

02-02-2015 14:10

Статью было трудно скопировать до конца? Далее написано: "Подробно об уязвимости, которой присвоен технический идентификатор CVE-2015-0235, рассказали исследователи из компании Qualys. В течение последнего времени Qualys тесно сотрудничала с вендорами, чтобы выпустить патчи для всех поражённых дистрибутивов Linux. С сегодняшнего дня патчи доступны для установки. Проверка машины на наличие уязвимости GHOST осуществляется с помощью этой утилиты, которую выпустили исследователи из Qualys."

#---

nazikus

02-02-2015 13:49

О Боже! что делаать!? crying

ALF

02-02-2015 13:46

506

Старожилы S.F.W.

__________________________________________
Призыватель баттхерта, бугурта и всея жопаболи! (у определенного контингента посетителей ресурса).

nazikus

02-02-2015 13:49

242

Старожилы S.F.W.

mazorik

11:56:25 03.02.15

Папачоли

22:56:52 28.07.17

О Боже! что делаать!? crying

Strelok

02-02-2015 13:53

8535

Старожилы S.F.W.

sergsum

16:10:42 02.02.15

ой шо ж теперь с нами будет??

__________________________________________
Передо мной расстилалась
Пыль,
Выжженный песок,
Каждый раз казалось –
Близок мой чертог!
Силы уже на исходе,
Быль,
Словно наяву –
Вижу я свободу,
Руку к ней тяну!

sergsum

02-02-2015 14:00

860

7607

Журналюги

Wanderdekken

14:10:52 02.02.15

Totenkopf

14:50:05 02.02.15

val43

14:56:25 02.02.15

kvashist

15:24:13 02.02.15

Rosth

15:41:50 02.02.15

Strelok

16:04:14 02.02.15

RinDaime

16:27:09 02.02.15

comrade

16:57:04 02.02.15

Miroving

19:56:17 02.02.15

Показать / Скрыть текст

__________________________________________
Нееее... с головой я не дружу...скучно с ней! А вот с жопой - весело! Та еще затейница!

....ɐwʎ ɔ vǝmоɔ dиw
¡ иɯʎdʞ ин ʞɐʞ 'ɐнɔɐdʞedu qнεиЖ

Свідомий

02-02-2015 14:10

2564

Старожилы S.F.W.

comrade

16:57:34 02.02.15

stimul1802

18:50:27 02.02.15

Sawka

23:07:48 02.02.15

нонсенс

12:56:32 21.02.15

Рукоделица

21:56:15 08.03.15

__________________________________________
http://img2.joyreactor.cc/pics/post/%D0%B3%D0%B8%D1%84%D0%BA%D0%B8-%D1%81%D1%82%D0%B5%D0%BA%D0%BB%D0%BE-333492.gif

murik

02-02-2015 15:32

1984

Старожилы S.F.W.

Цитата: Уязвимость GHOST в Linux обнаружили спустя 14 лет

Дыра существует в Linux-системах, использующих библиотеку Glibc (GNU C Library), начиная с версии glibc-2.2 от 2000 года.

Тю... Bash Shellshock он ваще как минимум с 1992 года была, и ничо bellow

Тока в сентябре прошлого года раскопали

PS: Правосеки - пидарасы

champion

02-02-2015 15:40

673

1940

Старожилы S.F.W.

grol

16:19:25 02.02.15

anbelk

18:46:14 02.02.15

Как-то все по дебильному написано... Можно было придумать громче название - В ПО Адронного коллайдера обнаружена уязвимость, которая позволяет взорвать весь мир к хуям!. troll

Подробнее:
Компания Qualys, специализирующаяся на проблемах информационной безопасности, заявила о том, что в стандартной для многих операционных систем библиотеке языка C — glibc — была обнаружена серьёзная уязвимость под названием GHOST, позволявшая злоумышленнику выполнить произвольный код на компьютере жертвы или сервере. Особую пикантность ситуации придал тот факт, что одна из компаний-разработчиков Linux-дистрибутива давно знала об уязвимости, но не сообщила о ней никому.
Проводя аудит безопасности, специалисты Qualys обнаружили, что в функции __nss_hostname_digits_dots() библиотеки libc была возможность произвести атаку как локально, так и удалённо, связанную с переполнением буфера. В случае если разработчик программы использовал подфункцию gethostbyname*() для доступа к преобразовывателю адресов DNS (конвертирует адрес сайта в IP-адрес), то из-за ошибок проектирования появлялась возможность для выполнения произвольного кода. Специалисты Qualys разработали рабочий эксплойт для демонстрации возможности атаки по всем векторам и связались с разработчиками популярных дистрибутивов Linux, как коммерческих, так и поддерживаемых сообществом. Эксплойт был в состоянии обойти все технологии защиты, включая ASLR, NoeXecute-bit, PIE и SELinux. С публикацией данных об уязвимости, получившей название GHOST (gethostbyname/ghost — привидение), были одновременно выпущены и патчи для большинства Linux-систем, включая Red Hat Linux, Oracle Enterprise Linux, Debian, Ubuntu и других.
Впрочем, позднее выяснилось, что единственной Linux-системой, использующей glibc и не подверженной уязвимости, оказалась Google Chrome OS. Принявшиеся искать причины этой устойчивости энтузиасты пришли к выводу, что компания Google знала об уязвимости, как минимум, с апреля прошлого года. Патч, закрывающий уязвимость, был добавлен в публичные репозитории исходных кодов Chromium 17 апреля, но по каким-то причинам не был замечен никем, а сама Google не разослала уведомлений ни в Linux Foundation, ни команде разработчиков glibc. В корпорации никак не прокомментировали сложившуюся ситуацию. Другая ОС от Google — Android — не подвержена дефекту, так как вместо glibc в ней используется собственная разработка компании — Bionic. Также устойчивы другие альтернативные библиотеки — uclibc и musl. Специалисты в области сетевого стека Linux заявили, что несмотря на то, что уязвимости присвоен высочайший уровень опасности по шкале NIST, эксплуатировать GHOST трудно из-за того, что вызов gethostbyname*() является устаревшим из-за отсутствия поддержки IPv6, и сейчас разработчиками программ используются другие вызовы.

LeXmaR

02-02-2015 16:18

654

12900

Редакторы

alexkr1999

02-02-2015 16:54

19631

Старожилы S.F.W.

так шо
пропало все?
или не все?

__________________________________________
http://www.newstarter.prom.ua
Магазин "Стартер & Генератор" - Стартеры и генераторы на любые иномарки по хорошим ценам