Kritická chyba knihovny glibc (heap-based buffer) při volání gethostbyname()

Kritická chyba knihovny glibc (heap-based buffer) při volání gethostbyname(). Útočník může v nejhorším případě vzdáleně spustit libovolný kód. Doporučuje se provést okamžitý update.

https://csirt.cz/page/2681/

Tak po roce se opakuje chyba připomínající znamej průšvih Heartblead – chyba ve funkci gethostbyname() v glibc která vede na vzdálené spuštění kódu. Ohroženy jsou zejména systémy kde útočník muze na dálku vyvolat resolvovani DNS dotazu jehož parametr muze útočník poslat (mailservery, MySQL se zapnutou host autorizaci, a tak podobně).
Bugzilla RedHat a Debian:
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2015-0235

https://security-tracker.debian.org/tracker/CVE-2015-0235

Originální popis chyby:
http://ma.ttias.be/critical-glibc-update-cve-2015-0235-gethostbyname-calls/

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *