Aggiornato il: 01-03-2019 09:14
Una nuova, estremamente pericolosa, falla informatica sarebbe stata rilevata in ambiente Linux, e la sua portata è stata già paragonata ad heartbleed e shellshock: il rischio è che un attaccante possa, dall’esterno e senza permessi, eseguire codice arbitrario sul sistema ed inviare posta, hostare pagine web ed altroancora. Secondo openwall (fonte della notizia) il rischio sarebbe legato alla presenza di un buffer overflow sulla funzione glibc: il bug è stato denominato ghost, ed i dettagli sono presenti nella documentazione ufficiale CVE-2015-0235. Si tratta di una falla che, come nel caso di ShellShock, potrebbe risalire addirittura al 2000, ed essere stata ereditata silenziosamente fino ad oggi: non è dato sapere se e quando degli attaccanti abbiano potuto sfruttarla.
La patch per proteggersi non è diffusa in modo uniforme sui vari sistemi Linux: di fatto, molti dispositivi connessi in rete rischiano di rimanere scoperti, e potrebbe essere problematico capire come procedere per risolvere sulla maggioranza di essi. Nel dettaglio, richiamando le funzioni gethostbyname() e gethostbyname2(), un attaccante potrebbe approfittarne per prendere il controllo del sistema ed eseguire una scalata di privilegi. La proof-of-concept pubblicata sul sito sarebbe relativa ad un attacco di test eseguito su un mail server Exim, mentre la falla opera indifferentemente su sistemi a 32 e 64 bit. Per gli utenti standard di Linux, il suggerimento è quello di aggiornare prima possibile il sistema operativo e sostituire vecchie versioni del SO con altre più recenti (vedi indicazioni finali).
La portata della falla ghost su glibc è colossale: mette a repentaglio la sicurezza dei sistemi Linux e dei software in C/C++, cosଠcome quelli in Python e Ruby (che si basano sempre su glibc). Per proteggersi è necessario patchare la libreria glibc dove non presente, quindi il problema riguarda più che altro i sistemi operativi orientativamente fino al 2013, mentre i sistemi Linux aggiornati di recente dovrebbero essere al sicuro. Ovviamente, chiunque abbia installato una versione di Linux non recente dovrebbe patchare la funzione in questione al più presto. Sono potenzialmente a rischio ghost vari sistemi informatici tra cui server MySQL, shell SSH, sistemi che lavorano sulla risoluzione dei nomi internet (Domain Name Resolution), pagine web con form di ricerca e mail server in generale. Ubuntu, Debian e Red Hat stanno cercando di correre ai ripari per proporre gli aggiornamenti che devono comunque essere eseguiti da personale che sa quello che sta facendo.
Versioni di Linux affette sarebbero:
Debian 7 (wheezy)Red Hat Enterprise Linux 6 & 7CentOS 6 & 7Ubuntu 12.04Linux SUSE (vedi qui)
Sono disponibili al momento in cui scrivo patch per Red Hat Enterprise Linux 5 (link), ed una per Ubuntu 12.04 (qui). Le versioni recenti di Ubuntu 14.04 LTS and 14.10 non sono affette dal problema. Per Debian è stato aperto da qualche ora un thread sulla mailing list. (fonte)
