Vulnerabilidad crítica de Linux CVE-2015-7547 en la biblioteca C de GNU (glibc)

CVE-2015-7547 es una vulnerabilidad crítica en la biblioteca C de GNU (glibc) que ha sido informada por el Equipo de seguridad de Google y de Red Hat.

Descripción de la vulnerabilidad por Red Hat :

Se encontró un desbordamiento de búfer basado en la pila en la forma en que la biblioteca de libresolv realizó consultas dobles de DNS tipo A/AAAA. Un atacante remoto podría crear una respuesta DNS especialmente diseñada que podría causar que la biblioteca libresolv se bloquee o, potencialmente, podría ejecutar código con los permisos del usuario que ejecuta la biblioteca.

NOTA: este problema solo se expone cuando se llama a libresolv desde el módulo de servicio NSS nss_DNS.  (CVE-2015-7547)

Se descubrió que la implementación calloc en glibc puede devolver las áreas de memoria que contienen bytes sin cero. Esto podría resultar en un comportamiento inesperado de la aplicación como fallas o bloqueos. (CVE-2015-5229)

Impacto:

Este defecto podría ser explotado de varias formas; básicamente, los servicios/procesos que hacen peticiones DNS podrían ser un objetivo potencial y llevar a la ejecución remota del código o un control completo del sistema.

Distribuciones de Linux afectadas:

• Red Hat Enterprise Linux 6 y CentOS 6: RHSA-2016:0175-1
• Red Hat Enterprise Linux 7 y CentOS 7: RHSA-2016:0176-1
• Debian 6 (Squeeze), 7 (Wheezy), 8 (Jessy): CVE-2015-7547
• Ubuntu 12.04 LTS, 14.04 LTS, 15.10: USN-2900-1

 Solución:

1. Verifique que la versión actual de glibc en CentOS y en Red Hat Enterprise Linux:

Ejecute:
yum list glibc
La versión se mostrará debajo de la sección “Paquetes instalados” en Ubuntu y Debian :

Ejecute:
ldd –version
La primera línea del resultado menciona la versión.

Aquí está la lista de las versiones parcheadas:

• Red Hat Enterprise Linux 6 y CentOS 6: glibc-2.12-1.166.el6_7.7
• Red Hat Enterprise Linux 7 y CentOS 7: glibc-2.17-106.el7_2.4
• Debian 6 (squeeze): eglibc 2.11.3-4+deb6u11
• Debian 7 (wheezy): eglibc 2.13-38+deb7u10
• Debian 8 (jessie): glibc 2.19-18+deb8u3
• Ubuntu 12.04 LTS: libc6 2.15-0ubuntu10.13
• Ubuntu 14.04 LTS: libc6 2.19-0ubuntu6.7
• Ubuntu 15.10: libc6 2.21-0ubuntu4.1

2. Actualizar glibc y reiniciar

En CentOS y Red Hat Enterprise Linux:

Ejecute:
yum clean all

yum update glibc

reboot
En Ubuntu (12.04 LTS, 14.04 LTS and 15.10):

Ejecute:
sudo apt-get update

sudo apt-get install libc6

reboot
En Debian 6 (squeeze) y Debian 7 (wheezy):

Ejecute:
sudo apt-get update

sudo apt-get install libc6

reboot
En Debian 8 (jessie):

Ejecute:
sudo apt-get update

sudo apt-get install libc6

reboot
Las suscripciones a notificaciones sobre actualizaciones de seguridad para Red Hat, CentOS, Ubuntu y Debian se pueden encontrar en las siguientes URL:

• Red Hat – RHSA-announce (http://www.redhat.com/mailman/listinfo/rhsa-announce)
• CentOS – CentOS-announce (https://lists.centos.org/mailman/listinfo/centos-announce)
• Ubuntu – ubuntu-security-announce (https://lists.ubuntu.com/mailman/listinfo/ubuntu-security-announce)
• Debian – debian-security-announce (https://lists.debian.org/debian-security-announce/)

Referencias:

•  https://googleonlinesecurity.blogspot.ca/2016/02/cve-2015-7547-glibc-getaddrinfo-stack.html
• https://access.redhat.com/articles/2161461