Faille GHOST

halloween_ghost

 

 

La dernière faille "sévère" en date pour les serveurs linux, impacte directement glibc, qui est indirectement utilisée par tout un tas de chose ^^

Mais là ou se situe le vrai danger, est que les fonctions concernées sont gethostbyname et gethostbyaddress qui convertissent un nom de domaine "toto.com" en adresse ip XX.XX.XX.XX en interrogeant les dns.

 

Donc il est très simple de l'exploiter en créant un nom de domaine et en lui indiquant 2 serveur dns.
Dès lors que vous administrez les serveur dns, vous pouvez aisément retourner ce que vous voulez à toute machine interrogeant votre nom de domaine ^^
Et qui dit "retourner ce que l'on veut" veux dire que l'on peut faire du buffer overflow ^^
Donc en envoyant un simple mail à une machine vulnérable qui ira récupérer l'adresse ip d'origine de ce mail, suffira à déclencher des actions sur votre système, si le pirate à bien géré son coup.

 

La question essentiel est "êtes vous concerné ?", pour tenter d'y répondre, je vais vous inviter à effectuer un petit test depuis votre serveur.

 

wget https://webshare.uchicago.edu/orgs/ITServices/itsec/Downloads/GHOST.c
gcc -o GHOST GHOST.c
./GHOST

 

Les plus curieux, et j'incite d'ailleurs tout le monde à l'être, iront vérifier la source :
https://webshare.uchicago.edu/orgs/ITServices/itsec/Downloads/GHOST.c

 

 

Ce script n'apporte normalement aucun changement à votre machine.
Il check simplement le retour de la fonction  : gethostbyname_r

 

Si vous êtes bon :

 

Capture

 

Partagez ce contenu

Laisser une réponse

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *