Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 30 replies
  • Subscribers 3 subscribers
  • Views 12404 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Warning: GHOST bug in glibc

StephaneGROBETY
Hello everyone,

In case you haven't noticed, there is a critical bug going around these days in glibc that has successfully been remotely exploited through gethostbyname in exim (and possibly everywhere in Linux where a name is resolved):

oss-security - Qualys Security Advisory CVE-2015-0235 - GHOST: glibc gethostbyname buffer overflow

I was unable to quickly assess if UTM is affected. Since the bug only affect older versions of glibc (2.17 and down. 2.18 and up are safe), it is likely not a problem. However, you might want to keep an eye on news.

That old bug wasn't thought to be a security issue until recently. Now, POC against exim has been already tested and metasploit is adding a module to it's catalog (should be there soon).

I'm sure the community would appreciate a work from Sophos regarding this (which version of UTM - if any - is affected). At the very lest, I would [:P]

Some extra info:

https://security-tracker.debian.org/tracker/CVE-2015-0235
Highly critical

Edit:
"ldd --version" returns "ldd (GNU libc) 2.11.3". Looks like we might be looking at an emergency patch and reboot.


This thread was automatically locked due to age.
  • 0
    I did firmware update to 9.307-6 and up2date log show success in install. The ldd --version result is 2.11.3. I did open a ticket with support.
  • 0
    Another thread outlines the packages in the 9.307 update: https://community.sophos.com/products/unified-threat-management/astaroorg/f/52/t/29877

    It is not surprising that ldd --version reports 2.11.3.

    It is common for security patches to be backported in "long-term-supported" and "enterprise" distributions.  Review the Novell/SUSE link earlier in the thread.

    Compare "rpm -qi glibc" output (install dates deliberately modified):

    9.306 

    Name        : glibc                        Relocations: (not relocatable)

    Version     : 2.11.3                            Vendor: Astaro GmbH & Co. KG

    Release     : 17.54.1.1078.gb706d65.rb1     Build Date: Mon 27 May 2013 03:10:36                                                   PM EDT

    Install Date: Fri 20 Jan 2015 00:00:00 AM EST      Build Host: axgbuild

    Group       : System/Libraries              Source RPM: glibc-2.11.3-17.54.1.107                                                  8.gb706d65.rb1.src.rpm

    Size        : 4840733                          License: BSD 3-Clause; GPL v2 or                                                   later; LGPL v2.1 or later

    Signature   : (none)

    Packager    : Astaro GmbH & Co. KG

    URL         : http://www.gnu.org/software/libc/libc.html

    Summary     : Standard Shared Libraries (from the GNU C Library)

    Description :

    The GNU C Library provides the most important standard libraries used

    by nearly all programs: the standard C library, the standard math

    library, and the POSIX thread library. A system is not functional

    without these libraries.

    Distribution: Astaro Security Gateway



    9.307 

    Name        : glibc                        Relocations: (not relocatable)

    Version     : 2.11.3                            Vendor: Astaro GmbH & Co. KG

    Release     : 17.74.13.1439.g4e42d0f        Build Date: Thu 29 Jan 2015 05:07:29 AM EST

    Install Date: Tue 03 Feb 2015 00:00:00 AM EST      Build Host: axgbuild

    Group       : System/Libraries              Source RPM: glibc-2.11.3-17.74.13.1439.g4e42d0f.src.rpm

    Size        : 4857288                          License: BSD 3-Clause; GPL v2 or later; LGPL v2.1 or later

    Signature   : (none)

    Packager    : Astaro GmbH & Co. KG

    URL         : http://www.gnu.org/software/libc/libc.html

    Summary     : Standard Shared Libraries (from the GNU C Library)

    Description :

    The GNU C Library provides the most important standard libraries used

    by nearly all programs: the standard C library, the standard math

    library, and the POSIX thread library. A system is not functional

    without these libraries.

    Distribution: Astaro Security Gateway
  • 0
    Thanks Teched, that explains it then
  • 0
    Hi @ all,

    im really looking for the patch for v8.3 and 9.2..... The main-website for the ghost caveat (https://www.sophos.com/en-us/support/knowledgebase/121879.aspx) says, the patch should be available since yesterday... Where is it? No information about that....

    And im also really interested in, if that statement is true or sophos just wants to hide something?

    Hi All,
    However, we did also spend some time in parallel hammering on this, and could not reproduce the effect on our Exim implementation. 



    2 weeks ago I had a customer with UTMs (v9.3) with an Exim error. The result was, that there were no more mails incoming. A look at the logfiles showed different killed processes to that time, but for me the root cause, isn´t clear so far.  Sophos says, it was the postgresql database, because of memory problems. But the memory usage isn´t more than 60% at peak over many month.... There are only problems with the swap (swapsize over 80% all the time, even memory is not full at all) that could´t be eliminated so far. 

    Take a look at this link: Problems with incoming mails | Network Guy


    But couldn´t it be, that UTMs with SMTP Proxy active are already actively exploited?! How could somebody verify, that the installations is still clean and not hijacked?
  • 0
    9.211 was released today, but has not been announced on up2date | Sophos Blog

    Barry
  • 0 in reply to BarryG
    9.211 was released today, but has not been announced on up2date | Sophos Blog

    Barry


    Yes, I its now available in Webadmin. Thanks a lot!
  • 0
    Hi again,

    as I recognized, v8.315 is still missing. Does somebody knows about the timeline for deployment?
  • 0
    https://www.sophos.com/support/knowledgebase/121879.aspx hasn't seen an update since February 2nd.

    Contact support if you have it?

    If the handling of this (and/or the other recent vulnerabilities) cause concern, might it be worth a polite inquiry through your existing purchasing channel?
  • 0 in reply to teched_01
    https://www.sophos.com/support/knowledgebase/121879.aspx hasn't seen an update since February 2nd.

    Contact support if you have it?


    There was an update at February, 11th... But the date for release is now "TBA" [;)] I already sent a mail to the support, I´m waiting for an answer.


    If the handling of this (and/or the other recent vulnerabilities) cause concern, might it be worth a polite inquiry through your existing purchasing channel?

    Yes, thats an option, of course.
  • 0
    Wow,

    the update is "GA", Global Available since today!!!