Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 30 replies
  • Subscribers 3 subscribers
  • Views 12385 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Warning: GHOST bug in glibc

StephaneGROBETY
Hello everyone,

In case you haven't noticed, there is a critical bug going around these days in glibc that has successfully been remotely exploited through gethostbyname in exim (and possibly everywhere in Linux where a name is resolved):

oss-security - Qualys Security Advisory CVE-2015-0235 - GHOST: glibc gethostbyname buffer overflow

I was unable to quickly assess if UTM is affected. Since the bug only affect older versions of glibc (2.17 and down. 2.18 and up are safe), it is likely not a problem. However, you might want to keep an eye on news.

That old bug wasn't thought to be a security issue until recently. Now, POC against exim has been already tested and metasploit is adding a module to it's catalog (should be there soon).

I'm sure the community would appreciate a work from Sophos regarding this (which version of UTM - if any - is affected). At the very lest, I would [:P]

Some extra info:

https://security-tracker.debian.org/tracker/CVE-2015-0235
Highly critical

Edit:
"ldd --version" returns "ldd (GNU libc) 2.11.3". Looks like we might be looking at an emergency patch and reboot.


This thread was automatically locked due to age.
  • 0
    Sophos UTM 9.305-4 appears to be vulnerable.  If you SSH into the box and run ldd --version it shows it is running version 2.11.3.
  • 0
    any indication of when the patch is out?

    thnx.
  • 0
    Hopefully Sophos will jump in here and let us know they are working on the patch as this appears to be a serious vulnerability per what I am reading.
  • 0
    Yes; pretty much everything on the planet is going to be vulnerable to this.

    So what do you do?

    Well, you could immediately start turning off any listening ports on your firewall. Not forwarded ports mind you, but rather ports that allow you to access functions of your firewall.

    Do you have to go this extreme? No, you don't HAVE to do anything, but why not. Keeping up with how your devices work as a practice is not horrible. So shut down or restrict access to given IP addresses/ranges

    My two cents.
  • 0
    Other thing to keep in mind is that the UTM jails different functions of the system so a compromise on one module/program won't spill over into others. That's just common sense design against zero day attacks.
  • 0
    Novell/SuSe: CVE-2015-0235

    UTM 9 series is based on SuSE SLES 11 (?)

    In such distributions backports of patches are common so major.minor version numbers alone are not sufficient detail.
  • 0
     Other thing to keep in mind is that the UTM jails different functions of the system so a compromise on one module/program won't spill over into others. That's just common sense design against zero day attacks. 


    Yes, the flaw doesn't automatically leads to a privilege escalation. But remember: the first targeted system is exim (at least, that the one we know there is a working exploit): it is an already pretty dangerous process to be remotely, anonymously exploitable.

    And because of the dubious decision made in the firewall system, you simply cannot firewall this one off (DNATing it into nothingness is your only option).

    Good new is: apache seems not to be exploitable.

    I really think Sophos needs to act really quickly on that one.
  • 0
    Hi All,

    we are working on patching this quickly, and should have an update available for 9.3 on Monday, 9.2 and older versions to follow closely. 

    However, we did also spend some time in parallel hammering on this, and could not reproduce the effect on our Exim implementation. Of course we will be replacing the vulnerable glibc library, but it seems that there are other factors involved, that at least mitigate the known methods of exim exploitation in our case.
  • 0 in reply to TheDrew
    Other thing to keep in mind is that the UTM jails different functions of the system so a compromise on one module/program won't spill over into others. That's just common sense design against zero day attacks.


    Well, chroot is not a security feature.  If you can get root inside the chroot, it's trivial to break out.  And there are lots of attacks to get root...  And Sophos UTM has no other hardenings like PAX or Selinux. [:(]

    https://securityblog.redhat.com/2013/03/27/is-chroot-a-security-feature/
  • 0
    Hi all,

    you will find more info on our plans to fix UTM (and other products) in this KBA: The glibc (Ghost) vulnerability: affected versions, recommended steps and workarounds