Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 30 replies
  • Subscribers 3 subscribers
  • Views 12393 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Warning: GHOST bug in glibc

StephaneGROBETY
Hello everyone,

In case you haven't noticed, there is a critical bug going around these days in glibc that has successfully been remotely exploited through gethostbyname in exim (and possibly everywhere in Linux where a name is resolved):

oss-security - Qualys Security Advisory CVE-2015-0235 - GHOST: glibc gethostbyname buffer overflow

I was unable to quickly assess if UTM is affected. Since the bug only affect older versions of glibc (2.17 and down. 2.18 and up are safe), it is likely not a problem. However, you might want to keep an eye on news.

That old bug wasn't thought to be a security issue until recently. Now, POC against exim has been already tested and metasploit is adding a module to it's catalog (should be there soon).

I'm sure the community would appreciate a work from Sophos regarding this (which version of UTM - if any - is affected). At the very lest, I would [:P]

Some extra info:

https://security-tracker.debian.org/tracker/CVE-2015-0235
Highly critical

Edit:
"ldd --version" returns "ldd (GNU libc) 2.11.3". Looks like we might be looking at an emergency patch and reboot.


This thread was automatically locked due to age.
Parents
  • 0
    Other thing to keep in mind is that the UTM jails different functions of the system so a compromise on one module/program won't spill over into others. That's just common sense design against zero day attacks.
Reply
  • 0
    Other thing to keep in mind is that the UTM jails different functions of the system so a compromise on one module/program won't spill over into others. That's just common sense design against zero day attacks.
Children
  • 0 in reply to TheDrew
    Other thing to keep in mind is that the UTM jails different functions of the system so a compromise on one module/program won't spill over into others. That's just common sense design against zero day attacks.


    Well, chroot is not a security feature.  If you can get root inside the chroot, it's trivial to break out.  And there are lots of attacks to get root...  And Sophos UTM has no other hardenings like PAX or Selinux. [:(]

    https://securityblog.redhat.com/2013/03/27/is-chroot-a-security-feature/
  • 0 in reply to Ákos Szalkai
    Well, chroot is not a security feature. 

    https://securityblog.redhat.com/2013/03/27/is-chroot-a-security-feature/

    I've read that article and while I agree he does have a point that you can pretty much achieve the same using proper filesystem permissions, I disagree with his statement that chroot is not a security feature.

    Hardening a server is one aspect of protecting a server (aka a security feature), alongside a holistic approach of external firewalls, IDS/IPS, and secure design (systems & sosftware). But he's saying that chroot() is a hardening feature, not a security feature, even tho hardening features are, by definition security features. Can't have it both ways. [:)]

    Or, maybe I'm just anal about semantics.[:D]
  • 0 in reply to TheDrew
    @TheDrew: Redhat guys always pushing selinux no matter what [;)]

    Back on topic though, I am a little concerned with the way sophos is casually handling this situation. We are not only running older glibc, we also have Exim as our internet facing MTA which is directly affected by this bug. Why not just update the glibc to the latest version and do a soft release. That way in the next five days, we can iron out some bugs before a wider GA release [:S] 

    Also since 9.2 is still widely deployed due to selective release of 9.3, why Feb 5th for the same patch? Sophos running short on developers or QA or both?
  • 0 in reply to Billybob
    Update your UTM to the fixed version.

    Fixed in version: 9.307

    Release: 2nd February


    This is a joke !  How long is this issue now ? For a Security relevant component ?

    Man since shohos got in here things going more and more downhill with the astaro stuff....