LinuxParty

Una nueva vulnerabilidad extremadamente crítica afecta a la mayoría de las distribuciones de Linux, ésta da a los atacantes la capacidad de ejecutar código malicioso en los servidores utilizados para entregar correo electrónico, las páginas web, y llevar a cabo otras funciones vitales.

La vulnerabilidad se presenta en la biblioteca GNU C (glibc) y se ha convertido en una de las principales amenazas de Internet, en cierto modo comparables a las Heartbleed y Shellshock que salieron a la luz el año pasado. El error, que está siendo apodado "Ghost" por algunos investigadores, tiene la vulnerabilidad y Exposiciones Comunes en la designación de CVE-2.015 de hasta 0.235. Mientras que ya se publicó un parche hace dos años, la mayoría de las versiones de Linux la utilizan en los sistemas de producción y todavía permanecen sin protección por el momento. Lo que es más grave, los sistemas de parches requieren funciones básicas que afecta a todo el servidor hasta su reinicio, un requisito que puede causar que algunos sistemas continúen siendo vulnerables durante algún tiempo.

El error de desbordamiento de búfer reside en __nss_hostname_digits_ots(), una función de glibc que se invoca por gethostbyname() y gethostbyname2(). Un atacante remoto podría ser capaz de llamar a cualquiera de estas funciones y podría explotar el fallo para ejecutar código arbitrario con los permisos del usuario que ejecuta la aplicación. En una entrada de blog publicada el martes, los investigadores de la firma de seguridad Qualys dijeron que eran capaces de escribir un script de explotación que lleva a cabo un ataque de ejecución remota de código en toda regla contra el servidor de correo Exim. El exploit anula todas las protecciones existentes disponibles en ambos sistemas de 32 bits y 64 bits, incluyendo el espacio de direcciones aleatoria del diseño, de posición ejecuciones independientes, y no ejecutar las protecciones. Qualys aún no ha publicado el código de explotación pero con el tiempo los planes para que esté disponible como un módulo de Metasploit.

"Una gran cantidad de daños colaterales en Internet"

La biblioteca glibc es la biblioteca de código más común utilizado por Linux. Contiene funciones estándar que los programas escritos en los lenguajes C++ y C utilizan para llevar a cabo tareas comunes. La vulnerabilidad también afecta a los programas de Linux escritos en Python, Ruby, y la mayoría de otros lenguajes, ya que también se basan en glibc. Como resultado, la mayoría de los sistemas Linux debe presumirse vulnerables, a menos que éstos realicen una actualización de glibc o utilicen una versión de glibc que contenga la actualización de hace dos años. El espectro de tantos sistemas de ser susceptible a un exploit con consecuencias tan graves está provocando preocupación entre muchos profesionales de la seguridad.

Además de Exim, otros componentes de Linux o aplicaciones son potencialmente vulnerables a "Ghost", entre las que se incluyen servidores MySQL, servidores Secure Shell, aplicaciones envío de formularios y otros tipos de servidores de correo Actualización: En un post posterior, los investigadores Qualys enumeran aplicaciones que creían no eran vulnerables. La lista incluye Apache, Cups, Dovecot, GnuPG, isc-dhcp, lighttpd, mariadb/mysql, nfs-utils, nginx, nodejs, openldap, openssh, postfix, proftpd, pure-ftpd, rsyslog, samba, sendmail, sysklogd, syslog-ng, tcp_wrappers, vsftpd, y xinetd.

"Si [los investigadores] fueron capaces de explotar de forma remota una versión bastante moderna de Exim es bastante grave", dijo Jon Oberheide, un experto en seguridad de Linux y el director de tecnología de servicio de autenticación de dos factores Duo Security. "No puede haber una gran cantidad de daños colaterales en Internet, si este exploit se publica públicamente, que parece que van a hacer, y si otras personas empiezan a escribir exploits para otros objetivos."

El error afecta a prácticamente todo el software basado en Linux que lleva a cabo la resolución de nombres de dominio. Como resultado, es muy probable que puede ser explotado no sólo contra los servidores, sino también a las aplicaciones cliente. La Palabra de la vulnerabilidad parece haber atrapado a los desarrolladores de la distribución Ubuntu, Debian y Red Hat Linux con la guardia baja. En el momento de este post la mayoría de las distribuciones ya tienen un parche preparado, bastará actualizar el sistema para solucionarlo.

Mire este link para tal objetivo.

Actualización: Red Hat Enterprise Linux 5, tiene una actualización aquí , y los lectores están reportando una solución también está disponible para Ubuntu 12.04

LinuxParty informa que ExtreHost puede ayudarte a realizar todas estas tareas, ponte en contacte con ellos, desde 40 euros día (para 2015)