Linux 幽灵漏洞CVE 2015-0235 (glibc修补方案)

漏洞的危害

【CVE 2015-0235: GNU glibc gethostbyname 缓冲区溢出漏洞 】全面爆发,该漏洞的产生是Qualys公司在进行内部代码审核时,发现了一个在GNU C库(glibc)中存在的__nss_hostname_digits_dots函数导致的缓冲区溢出漏洞。这个bug可以通过gethostbyname *()函数来触发,本地和远程均可行。该漏洞(幽灵漏洞)造成了远程代码执行,攻击者可以利用此漏洞获取系统的完全控制权。

检查系统是否存储幽灵漏洞:

将下面的代码保存到check_yl.c文件中

#include <netdb.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <errno.h>
#include <gnu/libc-version.h>
#define CANARY "in_the_coal_mine"
struct {
char buffer[1024];
char canary[sizeof(CANARY)];
} temp = { "buffer", CANARY };
int main(void) {
struct hostent resbuf;
struct hostent *result;
int herrno;
int retval;
/*** strlen (name) = size_needed - sizeof (*host_addr) - sizeof (*h_addr_ptrs) - 1; ***/
size_t len = sizeof(temp.buffer) - 16*sizeof(unsigned char) - 2*sizeof(char *) - 1;
char name[sizeof(temp.buffer)];
memset(name, ‘0‘, len);
name[len] = ‘\0‘;
retval = gethostbyname_r(name, &resbuf, temp.buffer, sizeof(temp.buffer), &result, &herrno);
if (strcmp(temp.canary, CANARY) != 0) {
puts("vulnerable");
exit(EXIT_SUCCESS);
}
if (retval == ERANGE) {
puts("not vulnerable");
exit(EXIT_SUCCESS);
}
puts("should not happen");
exit(EXIT_FAILURE);
}

然后编译执行

#gcc check_yl.c -o CVE-2015-0235 ./CVE-2015-0235

如果输出的结果是:vulnerable

说明系统存在此漏洞。如果是not vulnerable  说明不存在此漏洞

修补方案:

升级glibc的版本,要想修补此方案,需要将glibc升级到2.18版本或者2.19版本。

#rpm -Uvh --force --nodeps glibc-2.18-4.7.1.x86_64.rpm 

升级完毕之后,检查一下是否升级成功

#rpm -qi glibc

如果升级成功,再执行检查漏洞的命令

#gcc check_yl.c -o CVE-2015-0235 ./CVE-2015-0235  

说明漏洞已经修补成功!

glibc包下载地址:http://pkgs.org/opensuse-13.1/opensuse-update/glibc-2.18-4.7.1.x86_64.rpm/download/

波及范围:

glibc库版本2.2 、2.17及以前的版本

漏洞影响的操作系统类型:

CentOS 6 & 7
Debian 7
Red Hat Enterprise Linux 6 & 7
Ubuntu 10.04 & 12.04suse 10 & 11
各Linux发行版
时间: 2024-10-12 04:20:00

Linux 幽灵漏洞CVE 2015-0235 (glibc修补方案)的相关文章

Linuxglibc幽灵漏洞测试与修复方法

simeon 一.Linux glibc幽灵漏洞简介 2015年1月28日互联网上爆出Linux glibc幽灵漏洞(glibc gethostbyname buffer overflow,http://seclists.org/oss-sec/2015/q1/274),也有人将其称之为"20150127GHOST gethostbyname() heap overflow in glibc",在CVE上的漏洞编号是CVE-2015-0235.攻击者可利用此漏洞实施远程攻击,并完全控制

Linux Glibc幽灵漏洞紧急修补方案【转】

转自:http://blog.csdn.net/chen19870707/article/details/43560823 幽灵漏洞是Linux glibc库上出现的一个严重的安全问题,他可以让攻击者在不了解系统的任何情况下远程获取操作系统的控制权限.目前他的CVE编号为CVE-2015-0235. 什么是glibc glibc是GNU发布的libc库,即c运行库.glibc是linux系统中最底层的api,几乎其它任何运行库都会依赖于glibc.glibc除了封装linux操作系统所提供的系统

Linux Glibc幽灵漏洞紧急修补方案

推荐:10年技术力作:<高性能Linux服务器构建实战Ⅱ>全网发行,附试读章节和全书实例源码下载! 幽灵漏洞是Linux glibc库上出现的一个严重的安全问题,他可以让攻击者在不了解系统的任何情况下远程获取操作系统的控制权限.目前他的CVE编号为CVE-2015-0235. 什么是glibc glibc是GNU发布的libc库,即c运行库.glibc是linux系统中最底层的api,几乎其它任何运行库都会依赖于glibc.glibc除了封装linux操作系统所提供的系统服务外,它本身也提供了

针对幽灵漏洞对glibc进行升级

前一段时间出现幽灵漏洞,虽然及时做了修复,即对glibc进行升级,但是没时间整理文档,现在简单整理一下,希望对大家有用. 对于内网服务器,没有办法进行连接公网,无法用 yum update glibc或rpm -Uvh glibc*,我的方法是根据自己服务器操作系统的版本,把glibc相关的包下载到本地,然后再上传到文件服务器,再进行升级. glibc 下载地址:http://pkgs.org/download/glibc 幽灵漏洞脚本(或下载附件): [[email protected] op

Linux高危漏洞曝光:Linux 内核 ipv4/udp.c 远程恣意代码执行

漏洞描述 Linux kernel是美国Linux基金会发布的操作体系Linux所使用的内核.Linux kernel 4.5之前的版别中的udp.c文件存在安全缝隙,Linux内核中的udp.c答应长途攻击者经过UDP流量履行恣意代码,这些流量会在履行具有MSG_PEEK象征的recv体系调用时触发不安全的第2次校验和核算,长途攻击者可精心构造数据履行恣意代码,进一步致使本地提权,归于高危缝隙.但由于现实状况中,根据UDP协议的效劳时MSG_PEEK象征在实际使用的状况较少,受该长途指令履行缝

黑客通过linux bash漏洞借助apache cgi向产品服务器植入木马病毒的实例分享!

问题描述: 公司的某产品服务器(阿里云的)被黑客攻击了,确切的说是被黑客当成肉鸡了. 肉鸡:肉鸡也称傀儡机,是指被黑客通过各种方式植入木马病毒,然后被远程操纵的机器, 肉鸡可以是各种系统,如windows,linux和unix等,可以是一家公司,企业和学校甚至是政府军队的服务器. 发现问题: 阿里云管理中心给公司领导发短信了(阿里云账号绑定了手机号),短信说你的x服务器存在恶意攻击, 登陆阿里云管理中心发现x服务器有很多风险,如下图: 分析这些风险发现,x服务器向网络内很多服务器发送了暴力破解破

Linux ASLR漏洞:攻击者可无限禁用ASLR

近日,安全人员修复了一个Linux ASLR中比较古老的漏洞,拥有x86设备上的32位应用程序使用权限的任何用户,通过将RLIMIT_STACK资源设置为“无限制”可以禁用ASLR. 该漏洞CVE编号为CVE-2016-3672,CNNVD编号为CNNVD-201604-092. 2cto小科普: aslr)是一种针对缓冲区溢出的安全保护技术,通过对堆.栈.共享库映射等线性区布局的随机化,通过增加攻击者预测目的地址的难度,防止攻击者直接定位攻击代码位置,达到阻止溢出攻击的目的的一种技术. 检测

linux gcc++漏洞:普通用户获得root权限

linux gcc++漏洞:普通用户获得root权限 2012-02-06 10:22:38|  分类: linux安全|举报|字号 订阅   经我测试在RHEL5 / CentOS5 / FC13都成功了. 首先介绍下一下具体步骤中涉及到的2个频繁的出现的词语: taviso:作者 Tavis Ormandy 的简称,Google信息安全工程师 个人微博:http://my.opera.com/taviso/blog/ http://twitter.com/taviso exploit:自己创

Linux“Bash”漏洞大爆发

9月25日,国外曝出一个“毁灭级”的Bash漏洞,黑客可利用此漏洞远程执行任意命令,完全控制目标系统! 该漏洞编号为CVE-2014-6271,主要存在于bash 1.14 - 4.3版本中,受影响的系统包括:Red Hat企业Linux (versions 4-7) .Fedora distribution.CentOS (versions 5-7).Ubuntu 10.04 LTS,12.04LTS和14.04 LTS.Debian等. 经验证,受此Bash漏洞影响最大的是网站和企业内网,以