Otkriven ozbiljan propust koji većinu Linux sistema čini podložnim napadima
Vesti, 29.01.2015, 01:00 AM
Istraživači firme Qualys otkrili su kritičan propust u Linux GNU C Library (glibc) koji omogućava napadačima da daljinski pokrenu maliciozni kod i tako preuzmu potpunu kontrolu nad ranjivim sistemom.
Glibc je ključni deo Linuxa, bez koga Linux ne može da radi.
Istraživači Qualysa otkrili su buffer overflow propust nazvan GHOST (CVE-2015-0235) u __nss_hostname_digits_dots() funkciji glibca, koji može biti iskorišćen, lokalno ili daljinski, preko gethostbyname funkcija. Propust utiče na mnoge sisteme koji se temelje na Linuxu počev od onoga sa glibc-2.2 koji je objavljen 10. novembra 2000.
Propust je veoma ozbiljan. Istraživači su razvili proof-of-concept napad u kome slanje specijalno napravljenog emaila mail serveru može omogućiti napadačima daljinski pristup Linux sistemu. Istraživači kažu da takav napad zaobilazi sve postojeće zaštite na 32-bitnim i 64-bitnim sistemima.
Istraživači Qualysa su identifikovali brojne faktore koji su smanjili uticaj ovog baga. Oni su otkrili da je on bio ispravljen 21. maja 2013. (između objavljivanja glibc-2.17 i glibc-2.18). Na žalost, ovo nije prepoznato kao bezbednosna pretnja, zbog čega su najstabilnije i najduže podržane distribucije ostale izložene riziku, uključujući Debian 7 (wheezy), Red Hat Enterprise Linux 6 & 7, CentOS 6 & 7 i Ubuntu 12.04.
Qualys je unapred obavestio proizvođače Linux distribucija da će objaviti detalje o bagu, tako da su, na sreću, zakrpe sada dostupne.
“S obzirom na broj sistema bazirani na glibcu, verujemo da je ovo veoma ozbiljna ranjivost i da bi to trebalo odmah rešiti. Najbolji pravac delovanja da bi se smanjio rizik je da primenite update vašeg Linux proizvođača”, kažu iz Qualysa.
Izdvojeno
Microsoft: očekujte više Windows ažuriranja jer veštačka inteligencija pronalazi više propusta
Microsoft je upozorio korisnike da u narednom periodu mogu očekivati veći broj bezbednosnih ažuriranja za Windows, jer kompanija sve intenzivnije k... Dalje
Metin novi alat omogućava drugima da koriste vaše javne Instagram fotografije za generisanje AI sadržaja
Meta je predstavila novi model veštačke inteligencije za generisanje slika pod nazivom Muse Image, koji može da koristi javne objave i Reels sadrž... Dalje
Nova pravila za Chrome ekstenzije: manje prikupljanja podataka, više transparentnosti
Google je najavio značajne izmene pravila za Chrome ekstenzije koje će od programera zahtevati znatno veću transparentnost u vezi sa prikupljanjem ... Dalje
AI agent prvi put bez ljudske intervencije izvršio kompletan ransomware napad
Za ransomware napade ljudi više nisu potrebni: po prvi put, agent veštačke inteligencije je samostalno izvršio ransomware napad, iskorišćavajuc... Dalje
Zašto stručnjaci upozoravaju roditelje da razmisle pre objavljivanja fotografija dece na internetu
Sve više stručnjaka upozorava roditelje da dobro razmisle pre nego što objave fotografije ili video snimke svoje dece na internetu, jer razvoj veš... Dalje
Pratite nas
Nagrade






Pratite nas preko RSS-a





