SoftGang (Gang Software)

Web & Software Developer Gang.

พบบั๊ก GHOST ใน glibc ความร้ายแรงระดับสูง กระทบลินุกซ์รุ่นเก่าจำนวนมาก

by Little Bear @28 ม.ค. 58 09:12 ( IP : 49...110 ) | Tags : Server

บริษัท Qualys รายงานบั๊กในไลบรารี glibc ให้ชื่อช่องโหว่ว่า GHOST (CVE-2015-0235) มีความร้ายแรงระดับสูงมาก กระทบลินุกซ์ตั้งแต่ปี 2000 และสามารถยิงช่องโหว่นี้ได้จากระยะไกล บั๊กนี้แก้ไขไปแล้วตั้งแต่สองปีก่อน แต่ไม่ได้ระบุว่าเป็นบั๊กความปลอดภัยร้ายแรงเนื่องจากยังไม่มีรายงานว่าสามารถอาศัยบั๊กนี้โจมตีเครื่องเซิร์ฟเวอร์ได้

ช่องโหว่นี้เป็นบั๊กของฟังก์ชั่น gethostbyname และ gethostbyname2 ของ glibc ตั้งแต่เวอร์ชั่น 2.2 ที่ออกมาตั้งแต่ปี 2000 เป็นต้นไป ความร้ายแรงของบั๊กนี้อยู่ที่การรันบั๊กจากระยะไกลได้ง่าย เพราะฟังก์ชั่นทั้งสองฟังก์ชั่นมักใช้งานในเซิร์ฟเวอร์อยู่แล้ว ทีมงานสามารถสร้างอีเมลที่มุ่งร้ายขึ้นมาเพื่อส่งเข้าไปรันโค้ดบนเซิร์ฟเวอร์ได้สำเร็จ เพียงแค่ส่งอีเมลเข้าเมลเซิร์ฟเวอร์

สำหรับคนที่ติดตั้งลินุกซ์ที่ใช้ glibc รุ่นตั้งแต่ 2.18 เป็นต้นไป (ออกเมื่อกลางปี 2013) จะไม่ได้รับผลกระทบจากบั๊กนี้อยู่แล้ว แต่เนื่องจากการแก้บั๊กไม่ได้เป็นการแก้ด้านความปลอดภัย คนที่ใช้ลินุกซ์รุ่นที่ออกก่อนหน้านั้นอาจจะไม่ได้รับแพตช์ โดยรุ่นที่มีบั๊กแต่ยังไม่ได้แพตช์ เช่น Debian 7, RHEL 6 และ 7, CentOS 6 และ 7, และ Ubuntu 12.04 เป็นต้น ผู้ดูแลระบบทุกคนควรรีบตรวจสอบและอัพเดตเมื่อผู้ผลิตปล่อยแพตช์ออกมาครับ

ทาง Qualys รายงานโค้ดทดสอบบั๊กเอาไว้ด้วย สามารถนำไปคอมไพล์ทดสอบบั๊กกันได้

ชื่อบั๊กเป็นการย่อมาจากคำว่า GetHOST

ที่มา - Qualys ผ่าน Blognone.com

Relate topics

ddosify : Load Test - ไม่ผ่าน 26 ธ.ค. 65 12:50
macOS 12 Monterey: Web Server Setup/Apache/MariaDB/PHP Multiple Versions 4 ต.ค. 64 14:48
Ubuntu Server Installation 26 พ.ค. 64 13:02
อีกที : macOS 11.0 Big Sur Apache/MiriaDB/PHP Setup 21 ธ.ค. 63 10:21
Ubuntu Web Server Setup 19 ธ.ค. 63 13:19
Apache Config on Ubuntu Server :: Manual add new site 10 ต.ค. 63 16:16
Check and Repair Hardisk 22 มิ.ย. 63 23:29
Install AFP Share Server Protocal on Linux 2 พ.ย. 62 12:53
วิธีการติดตั้ง Let’s Encrypt automated free SSL certificate 31 ม.ค. 60 13:55
Linux Server Tools 31 ต.ค. 59 10:52
Make Macbook Pro to be Web Server 10 ก.ค. 58 16:43
Server Setup : การกำหนดสิทธิ์ Root ให้กับ user บน Ubuntu 14.04 22 ธ.ค. 57 21:45
Setup FTP Server under Ubuntu/Debian 22 ธ.ค. 57 21:35
ย้ายบ้านให้ MySql 3 ม.ค. 57 14:42
Debian : ปิดการตรวจสอบฮาร์ดดิสอัตโนมัติขณะเปิดเครื่อง 24 พ.ย. 56 16:50
Dabian bandwidth monitoring 20 พ.ย. 56 12:32
อีกครั้ง - Make Ubuntu 16.04 to be a web server (LAMP) 9 ส.ค. 56 23:27
Directadmin เข้า port 2222 ไม่ได้ 10 ก.ค. 56 02:13
How to update Directadmin by SSH 26 มิ.ย. 56 10:11
FTP chmod 16 พ.ค. 56 18:20

paper version release 2.6.18. ช่วยเหลือ