Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 30 replies
  • Subscribers 3 subscribers
  • Views 12386 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Warning: GHOST bug in glibc

StephaneGROBETY
Hello everyone,

In case you haven't noticed, there is a critical bug going around these days in glibc that has successfully been remotely exploited through gethostbyname in exim (and possibly everywhere in Linux where a name is resolved):

oss-security - Qualys Security Advisory CVE-2015-0235 - GHOST: glibc gethostbyname buffer overflow

I was unable to quickly assess if UTM is affected. Since the bug only affect older versions of glibc (2.17 and down. 2.18 and up are safe), it is likely not a problem. However, you might want to keep an eye on news.

That old bug wasn't thought to be a security issue until recently. Now, POC against exim has been already tested and metasploit is adding a module to it's catalog (should be there soon).

I'm sure the community would appreciate a work from Sophos regarding this (which version of UTM - if any - is affected). At the very lest, I would [:P]

Some extra info:

https://security-tracker.debian.org/tracker/CVE-2015-0235
Highly critical

Edit:
"ldd --version" returns "ldd (GNU libc) 2.11.3". Looks like we might be looking at an emergency patch and reboot.


This thread was automatically locked due to age.
Parents
  • 0
     Other thing to keep in mind is that the UTM jails different functions of the system so a compromise on one module/program won't spill over into others. That's just common sense design against zero day attacks. 


    Yes, the flaw doesn't automatically leads to a privilege escalation. But remember: the first targeted system is exim (at least, that the one we know there is a working exploit): it is an already pretty dangerous process to be remotely, anonymously exploitable.

    And because of the dubious decision made in the firewall system, you simply cannot firewall this one off (DNATing it into nothingness is your only option).

    Good new is: apache seems not to be exploitable.

    I really think Sophos needs to act really quickly on that one.
Reply
  • 0
     Other thing to keep in mind is that the UTM jails different functions of the system so a compromise on one module/program won't spill over into others. That's just common sense design against zero day attacks. 


    Yes, the flaw doesn't automatically leads to a privilege escalation. But remember: the first targeted system is exim (at least, that the one we know there is a working exploit): it is an already pretty dangerous process to be remotely, anonymously exploitable.

    And because of the dubious decision made in the firewall system, you simply cannot firewall this one off (DNATing it into nothingness is your only option).

    Good new is: apache seems not to be exploitable.

    I really think Sophos needs to act really quickly on that one.
Children
No Data