思科的安全情報(bào)研究團(tuán)隊(duì)Talos Group指出，Qualys日前所揭露的Ghost漏洞允許駭客自遠(yuǎn)端執(zhí)行任意程式，雖然是個(gè)重大漏洞，但是其實(shí)并沒那麼可怕

　　CTI論壇(ctiforum)2月9日消息（記者 李文杰):網(wǎng)絡(luò)安全暨漏洞管理業(yè)者Qualys于1月27日揭露Linux漏洞「Ghost」（CVE-2015-0235），受影響的Linux版本有Debian 7、Red Hat Enterprise Linux 6/7（RHEL 6/7）、CentOS 6/7及Ubuntu 12.04等。不過這些業(yè)者都已經(jīng)陸續(xù)同步更新受影響的作業(yè)系統(tǒng)。

　　Ghost漏洞屬于緩沖區(qū)溢位（Buffer Overflow）的攻擊手法，發(fā)生在Linux核心glibc程式庫中g(shù)ethostbyname（）與gethostbyname2（）的函式，只要執(zhí)行這2個(gè)函式都有可能會(huì)觸發(fā)Ghost漏洞，且允許遠(yuǎn)端駭客可以遠(yuǎn)程呼叫這些函數(shù)，取得該應(yīng)用程式的使用者身份，并可以執(zhí)行任意程式碼。

　　而gethostbyname（）函式用途為DNS解析，當(dāng)系統(tǒng)有此弱點(diǎn)時(shí)，駭客就可以在程式執(zhí)行名稱解析的時(shí)候，提供不正確的參數(shù)，以此來觸發(fā)緩沖區(qū)溢位的漏洞。

　　臺(tái)灣企業(yè)尚無災(zāi)情，紅帽已通知主要客戶

　　受Ghost漏洞影響的廠商紅帽（Red Hat），在1月27日和28日陸續(xù)釋出修補(bǔ)受Ghost漏洞影響的RHEL作業(yè)系統(tǒng)，以供用戶盡快修補(bǔ)。

　　此外，紅帽也已通過郵件方式來通知臺(tái)灣用戶，臺(tái)灣用戶也可以通過紅帽勘誤通知（Red Hat Errata Notification）或紅帽通知和公告網(wǎng)站獲取資安訊息通知。

　　臺(tái)灣紅帽表示，目前臺(tái)灣尚未接獲受Ghost漏洞影響的企業(yè)，但還是呼吁用戶盡速修補(bǔ)套件。

　　紅帽進(jìn)一步解釋，為了杜絕漏洞，需要重新啟動(dòng)有使用glibc的服務(wù)，而有監(jiān)于glibc的應(yīng)用范圍廣泛，建議使用者重啟系統(tǒng)，不過，使用者更新套件時(shí)不需要重新開機(jī)。

　　Ghost漏洞真的很可怕？

　　思科的安全情報(bào)研究團(tuán)隊(duì)Talos Group指出，Qualys日前所揭露的Ghost漏洞允許駭客自遠(yuǎn)端執(zhí)行任意程式，雖然是個(gè)重大漏洞，但是其實(shí)并沒那麼可怕。

　　該漏洞出現(xiàn)在GNU C函式庫（glibc）中將主機(jī)名稱轉(zhuǎn)為IP位址的GetHOST功能，因此被簡(jiǎn)稱為Ghost。

　　Qualys在__nss_hostname_digits_dots（）發(fā)現(xiàn)一個(gè)緩沖區(qū)溢位漏洞，不論是執(zhí)行g(shù)ethostbyname（）或gethostbyname2（）功能都有可能觸發(fā)該漏洞，允許遠(yuǎn)端駭客執(zhí)行任意程式并掌控系統(tǒng)。

　　不過，Talos Group認(rèn)為此一重大漏洞并沒有那麼可怕。其中一個(gè)原因是這兩項(xiàng)功能因未支持IPv6，所以約在15年前就日漸被淘汰，支持IPv6且用來替代上述功能的getaddrinfo（）并不存在該漏洞。

　　其次是必須要接受以主機(jī)的名稱輸入，并且仍然使用gethostbyname（）或gethostbyname2（）功能的應(yīng)用程式才可能被攻擊。

　　再者，相關(guān)功能限制了可使用的主機(jī)名稱格式，除了要求主機(jī)名稱只能由數(shù)字與「。（dot）」組成之外，也要求主機(jī)名稱的第一個(gè)字元必須是「。」，但最后一個(gè)字元不能是「。」，很少有應(yīng)用程式接受這種資料格式的輸入。

　　Talos Group表示，即使這是一個(gè)允許遠(yuǎn)端程式攻擊的漏洞，但其限制降低了它的威脅性，駭客必須使用gethostbyname（）或gethostbyname2（）的其中一項(xiàng)功能，還得符合奇怪的規(guī)則，在實(shí)際場(chǎng)景最有可能發(fā)生的結(jié)果是造成記憶體區(qū)段錯(cuò)誤而非遠(yuǎn)端程式攻擊。

　　目前Talos Group并未發(fā)現(xiàn)任何針對(duì)該漏洞的攻擊報(bào)告，但預(yù)期在業(yè)者把相關(guān)漏洞的概念性驗(yàn)證程式加至Metasploit滲透工具包之后情況可能就會(huì)有所改變。