安云网 - AnYun.ORG | 专注于网络信息收集、网络数据分享、网络安全研究、网络各种猎奇八卦。
当前位置: 安云网 > 技术关注 > 网络安全 > 漏洞分享 > 幽灵漏洞(linux GHOST)检测方法及修复建议

幽灵漏洞(linux GHOST)检测方法及修复建议

时间:2015-02-05来源:未知 作者:安云网点击:
0x01 前言 昨日,【 CVE 2015-0235: GNU glibc gethostbyname 缓冲区溢出漏洞 】全面爆发,该漏洞的产生是Qualys公司在进行内部代码审核时,发现了一个在GNU C库(glibc)中存在的__nss_hostname_digits_dots函数导致

0x01 前言 //内容来自AnYun.ORG


//本文来自安云网

昨日,【CVE 2015-0235: GNU glibc gethostbyname 缓冲区溢出漏洞 】全面爆发,该漏洞的产生是Qualys公司在进行内部代码审核时,发现了一个在GNU C库(glibc)中存在的__nss_hostname_digits_dots函数导致的缓冲区溢出漏洞。这个bug可以通过gethostbyname *()函数来触发,本地和远程均可行。该漏洞(幽灵漏洞)造成了远程代码执行,攻击者可以利用此漏洞远程获取系统进程当前的权限。 //内容来自安云网

幽灵漏洞(linux GHOST)检测方法及修复建议 //内容来自安云网

鉴于网上诸多glibc的原理普及,本文章就不多啰嗦了,直接实践如何检测服务器是否存在该漏洞,以及修复漏洞的方法。 //内容来自AnYun.ORG


//内容来自安云网

0x02 检测是否存在幽灵漏洞(GHOST)

//本文来自安云网


//本文来自安云网

检测方法1【RedHat官方检测方法】:

//本文来自安云网

幽灵漏洞(linux GHOST)检测方法及修复建议 //本文来自安云网

ghost_check.sh源码:

//本文来自安云网

//内容来自AnYun.ORG

#!/bin/bash   //内容来自AnYun.ORG

vercomp () {   //内容来自AnYun.ORG

if [[ $1 == $2 ]]   //内容来自安云网

then  

//内容来自AnYun.ORG

return 0  

//内容来自AnYun.ORG

fi  

//内容来自安云网

local IFS=.  

//内容来自AnYun.ORG

local i ver1=($1) ver2=($2)   //内容来自安云网

    # fill empty fields in ver1 with zeros   //内容来自安云网

    for ((i=${#ver1[@]}; i<${#ver2[@]}; i++))   //内容来自安云网

do  

//本文来自安云网

ver1[i]=0  

//内容来自AnYun.ORG

done  

//本文来自安云网

    for ((i=0; i<${#ver1[@]}; i++))   //内容来自AnYun.ORG

do  

//本文来自安云网

if [[ -z ${ver2[i]} ]]  

//本文来自安云网

then   //内容来自AnYun.ORG

            # fill empty fields in ver2 with zeros  

//内容来自安云网

ver2[i]=0  

//内容来自AnYun.ORG

fi   //内容来自AnYun.ORG

        if ((10#${ver1[i]} > 10#${ver2[i]}))  

//内容来自安云网

then   //内容来自AnYun.ORG

return 1  

//本文来自安云网

fi   //本文来自安云网

        if ((10#${ver1[i]} < 10#${ver2[i]}))  

//本文来自安云网

then   //内容来自AnYun.ORG

return 2  

//内容来自AnYun.ORG

fi   //本文来自安云网

done   //内容来自安云网

return 0  

//本文来自安云网

}  

//内容来自AnYun.ORG

   

//本文来自安云网

glibc_vulnerable_version=2.17  

//内容来自AnYun.ORG

glibc_vulnerable_revision=54  //本文来自安云网

glibc_vulnerable_version2=2.5  

//内容来自安云网

glibc_vulnerable_revision2=122 

//本文来自安云网

glibc_vulnerable_version3=2.12   //本文来自安云网

glibc_vulnerable_revision3=148 

//内容来自AnYun.ORG

echo "Vulnerable glibc version <=" $glibc_vulnerable_version"-"$glibc_vulnerable_revision  

//内容来自安云网

echo "Vulnerable glibc version <=" $glibc_vulnerable_version2"-"$glibc_vulnerable_revision2  

//内容来自AnYun.ORG

echo "Vulnerable glibc version <=" $glibc_vulnerable_version3"-1."$glibc_vulnerable_revision3  

//本文来自安云网

    //内容来自AnYun.ORG

glibc_version=$(rpm -q glibc | awk -F"[-.]" '{print $2"."$3}' | sort -u)   //本文来自安云网

if [[ $glibc_version == $glibc_vulnerable_version3 ]]   //本文来自安云网

then  

//内容来自AnYun.ORG

glibc_revision=$(rpm -q glibc | awk -F"[-.]" '{print $5}' | sort -u)   //内容来自AnYun.ORG

else   //内容来自安云网

glibc_revision=$(rpm -q glibc | awk -F"[-.]" '{print $4}' | sort -u)   //内容来自AnYun.ORG

fi  

//内容来自安云网

echo "Detected glibc version" $glibc_version" revision "$glibc_revision  

//本文来自安云网

   

//本文来自安云网

vulnerable_text=$"This system is vulnerable to CVE-2015-0235. <https://access.redhat.com/security/cve/CVE-2015-0235> 

//内容来自安云网

Update the glibc and ncsd packages on your system using the packages released with the following:  

//内容来自安云网

yum install glibc"   //内容来自安云网

    //内容来自安云网

if [[ $glibc_version == $glibc_vulnerable_version ]]  

//本文来自安云网

then   //内容来自AnYun.ORG

vercomp $glibc_vulnerable_revision $glibc_revision   //内容来自AnYun.ORG

elif [[ $glibc_version == $glibc_vulnerable_version2 ]]   //内容来自安云网

then  

//本文来自安云网

vercomp $glibc_vulnerable_revision2 $glibc_revision   //内容来自安云网

elif [[ $glibc_version == $glibc_vulnerable_version3 ]]   //内容来自AnYun.ORG

then  

//内容来自AnYun.ORG

vercomp $glibc_vulnerable_revision3 $glibc_revision  

//本文来自安云网

else   //内容来自安云网

vercomp $glibc_vulnerable_version $glibc_version  

//内容来自AnYun.ORG

fi  

//内容来自AnYun.ORG

   

//内容来自安云网

case $? in   //本文来自安云网

    0) echo "$vulnerable_text";;  

//内容来自安云网

    1) echo "$vulnerable_text";;  

//内容来自安云网

    2) echo "Not Vulnerable.";;  

//本文来自安云网

esac  //内容来自安云网



//本文来自安云网


 检测方法2【简单的检测方法】:

//本文来自安云网

幽灵漏洞(linux GHOST)检测方法及修复建议

//内容来自AnYun.ORG

检测方法2源码: //内容来自AnYun.ORG

/usr/sbin/clockdiff `python -c "print '0' * $((0x10000-16*1-2*4-1-4))"`
//本文来自安云网

检测方法3【二进制检测方法】
//本文来自安云网

幽灵漏洞(linux GHOST)检测方法及修复建议

//本文来自安云网

ghost.c源码:

//内容来自安云网


//内容来自AnYun.ORG

#include <netdb.h> 

//本文来自安云网

#include <stdio.h> 

//内容来自安云网

#include <stdlib.h>  //内容来自安云网

#include <string.h>  //内容来自安云网

#include <errno.h> 

//内容来自AnYun.ORG


//内容来自AnYun.ORG

#define CANARY "in_the_coal_mine"  

//内容来自安云网


//本文来自安云网

struct {   //内容来自AnYun.ORG

char buffer[1024];  

//本文来自安云网

char canary[sizeof(CANARY)];  

//内容来自AnYun.ORG

} temp = { "buffer", CANARY };   //本文来自安云网


//内容来自安云网

int main(void) {   //内容来自AnYun.ORG

struct hostent resbuf;  

//内容来自AnYun.ORG

struct hostent *result;  

//内容来自安云网

int herrno;  

//内容来自AnYun.ORG

int retval;  

//本文来自安云网


//内容来自AnYun.ORG

  /*** strlen (name) = size_needed - sizeof (*host_addr) - sizeof (*h_addr_ptrs) - 1; ***/  

//本文来自安云网

size_t len = sizeof(temp.buffer) - 16*sizeof(unsigned char) - 2*sizeof(char *) - 1;  

//内容来自安云网

char name[sizeof(temp.buffer)];   //内容来自AnYun.ORG

memset(name, '0', len);  

//本文来自安云网

name[len] = '\0';   //内容来自AnYun.ORG


//内容来自安云网

retval = gethostbyname_r(name, &resbuf, temp.buffer, sizeof(temp.buffer), &result, &herrno);   //内容来自安云网


//本文来自安云网

if (strcmp(temp.canary, CANARY) != 0) {   //本文来自安云网

 puts("vulnerable");   //内容来自AnYun.ORG

exit(EXIT_SUCCESS);  

//本文来自安云网

}   //本文来自安云网

if (retval == ERANGE) {   //内容来自AnYun.ORG

 puts("not vulnerable");  

//本文来自安云网

exit(EXIT_SUCCESS);   //内容来自安云网

}  

//内容来自安云网

  puts("should not happen");   //本文来自安云网

exit(EXIT_FAILURE);  

//内容来自AnYun.ORG

//内容来自AnYun.ORG



//内容来自AnYun.ORG

//本文来自安云网

0x03 在线修复方案

//内容来自AnYun.ORG


//内容来自安云网

CentOS, Red Hat, Fedora等系列衍生版本(RHN建议): //内容来自AnYun.ORG


//内容来自AnYun.ORG

yum update glibc 

//本文来自安云网

Debian, Ubuntu等系列衍生版本:

//内容来自AnYun.ORG


//内容来自安云网

apt-get clean && apt-get update && apt-get upgrade  //内容来自AnYun.ORG

0x04 离线修复方案 //本文来自安云网


//内容来自AnYun.ORG

Centos6.5离线补丁 //内容来自AnYun.ORG


//内容来自安云网

先检查本地glibc包安装了哪些相关包

//本文来自安云网


//内容来自安云网

rpm -qa|grep glibc  //内容来自安云网


幽灵漏洞(linux GHOST)检测方法及修复建议 //内容来自AnYun.ORG

然后,到阿里源下载对应版本

//内容来自安云网


//本文来自安云网

cat > update.txt << EOF  //本文来自安云网

http://mirrors.aliyun.com/centos/6.6/updates/x86_64/Packages/glibc-2.12-1.149.el6_6.5.i686.rpm   //内容来自AnYun.ORG

http://mirrors.aliyun.com/centos/6.6/updates/x86_64/Packages/glibc-2.12-1.149.el6_6.5.x86_64.rpm   //本文来自安云网

http://mirrors.aliyun.com/centos/6.6/updates/x86_64/Packages/glibc-common-2.12-1.149.el6_6.5.x86_64.rpm   //内容来自AnYun.ORG

http://mirrors.aliyun.com/centos/6.6/updates/x86_64/Packages/glibc-devel-2.12-1.149.el6_6.5.x86_64.rpm      

//内容来自AnYun.ORG

http://mirrors.aliyun.com/centos/6.6/updates/x86_64/Packages/glibc-headers-2.12-1.149.el6_6.5.x86_64.rpm   //本文来自安云网

EOF  //内容来自AnYun.ORG


//内容来自AnYun.ORG

进行后台断点下载补丁包 //本文来自安云网


//本文来自安云网

wget -b -i update.txt -c  //内容来自安云网

使用yum本地安装 //内容来自安云网


//内容来自AnYun.ORG

yum localinstall glibc-*  //本文来自安云网

或是rpm安装 //内容来自AnYun.ORG


//本文来自安云网

rpm -ivUh glibc-* 

//内容来自AnYun.ORG

幽灵漏洞(linux GHOST)检测方法及修复建议 //内容来自AnYun.ORG


//内容来自安云网

Red Had系列衍生版本 //本文来自安云网


//本文来自安云网

使用方法参考上文【Centos6.5离线补丁】的修补方法

//内容来自AnYun.ORG


//本文来自安云网

http://mirrors.aliyun.com/centos/7/updates/x86_64/Packages/glibc-2.17-55.el7_0.5.i686.rpm //本文来自安云网


//本文来自安云网

http://mirrors.aliyun.com/centos/7/updates/x86_64/Packages/glibc-2.17-55.el7_0.5.x86_64.rpm //内容来自AnYun.ORG


//内容来自安云网

0x05 修复完成检测 //内容来自AnYun.ORG


//内容来自AnYun.ORG

ghost_check.sh脚本检测

//内容来自AnYun.ORG


//内容来自AnYun.ORG

幽灵漏洞(linux GHOST)检测方法及修复建议 //内容来自AnYun.ORG

ghost.c脚本检测

//内容来自AnYun.ORG

幽灵漏洞(linux GHOST)检测方法及修复建议 //本文来自安云网

注意:打好补丁后必须立即重启操作系统,否则会造成应用业务无法使用。

//内容来自安云网


//本文来自安云网

0x06 参考来源

//内容来自AnYun.ORG


//内容来自安云网

redhat官方 //本文来自安云网


//内容来自AnYun.ORG

https://access.redhat.com/articles/1332213 //内容来自安云网


//内容来自安云网

redhat官方补丁介绍: //本文来自安云网


//本文来自安云网

https://rhn.redhat.com/errata/RHSA-2015-0090.html

//内容来自AnYun.ORG


//内容来自安云网

https://rhn.redhat.com/errata/RHSA-2015-0092.html

//内容来自安云网


//内容来自安云网

ubuntu官方补丁介绍: //内容来自AnYun.ORG


//本文来自安云网

http://www.ubuntu.com/usn/usn-2485-1/

//内容来自安云网


//本文来自安云网

顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
验证码: 点击我更换图片
相关内容
推荐内容