Det er en sårbarhet i Glibc-biblioteket som brukes av et stort antall Linux-applikasjoner. Sårbarheten ble introdusert i Glibc 2.9 som kom i 2008, og påvirker derfor et stort antall Linux-distribusjoner. Google mener at sårbarheten kan utnyttes til å kjøre vilkårlig kode (remote code execution), se Kilde [2] nederst.
NorCERT anbefaler at man oppgraderer til nyeste oppdaterte versjon der den finnes. Se «Påvirkede versjoner» for lenker til informasjonssider for de største Linux-distribusjonene under.
Dersom systemet er sårbart men oppdaterte pakker ikke er tilgjengelig, lister sårbarhetsvarselet opp mulige endringer for å beskytte et system.
Detaljer om sårbarheten
Sårbarheten består av en buffer-overflow-feil som oppstår når et program bruker glibc til å gjøre DNS-oppslag. Dersom man ber glibc slå opp både IPv4 (A) og IPv6(AAAA)-adresser, kan en angriper returnere unormalt store pakker og trigge sårbarheten. Vær klar over at sårbarheten kan utnyttes selv om IPv6 er helt deaktivert for systemet. Man bør anta at både klient- og serverapplikasjoner er sårbare. E-postservere kan for eksempel lures til å gjøre vilkårlige DNS-oppslag som del av spam-scoring.
Aktiv utnyttelse
NSM NorCERT har ikke informasjon om aktiv utnyttelse av sårbarheten, men det er publisert et Proof Of Concept (Se kilde [3] nederst) som utnytter sårbarheten til å krasje en klientapplikasjon.
Påvirkede versjoner
Vennligst se de distro-spesifikke sidene for oppdatert status på
sårbarhet og tilgjengelighet av patcher.
* Debian [4]
* Jessie, Wheezy og Squeeze er sårbare.
* Ubuntu [5]
* 12.04 LTS, 14.04 LTS, 15.04 og 15.10 er sårbare.
* Red Hat [6]
– Enterprise Linux 6 og 7 er sårbare.
– Enterprise Linux 5 er ikke sårbar.
* openSUSE [7]
– SUSE Linux Enterprise Desktop/Server 11 og 12 er sårbar.