L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

annonce de faille informatique CVE-2015-7547

glibc : buffer overflow de getaddrinfo

Synthèse de la vulnérabilité

Un attaquant, disposant d'un serveur DNS malveillant, peut répondre avec des données trop longues à un client utilisant la fonction getaddrinfo() de la glibc, afin de mener un déni de service, et éventuellement d'exécuter du code dans l'application cliente.
Gravité de cette menace : 4/4.
Date création : 16/02/2016.
Date révision : 17/02/2016.
Références de cette faille : 046146, 046151, 046153, 046155, 046158, 1977665, 478832, 479427, 479906, 480572, 480707, 480708, ARUBA-PSA-2016-001, BSA-2016-003, BSA-2016-004, CERTFR-2016-AVI-066, CERTFR-2016-AVI-071, CERTFR-2017-AVI-012, CERTFR-2017-AVI-022, cisco-sa-20160218-glibc, CTX206991, CVE-2015-7547, ESA-2016-020, ESA-2016-027, ESA-2016-028, ESA-2016-029, ESA-2016-030, FEDORA-2016-0480defc94, FEDORA-2016-0f9e9a34ce, JSA10774, KB #4858, openSUSE-SU-2016:0490-1, openSUSE-SU-2016:0510-1, openSUSE-SU-2016:0511-1, openSUSE-SU-2016:0512-1, PAN-SA-2016-0021, RHSA-2016:0175-01, RHSA-2016:0176-01, RHSA-2016:0225-01, SA114, SB10150, SOL47098834, SSA:2016-054-02, SSA-301706, SUSE-SU-2016:0470-1, SUSE-SU-2016:0471-1, SUSE-SU-2016:0472-1, SUSE-SU-2016:0473-1, USN-2900-1, VIGILANCE-VUL-18956, VMSA-2016-0002, VMSA-2016-0002.1, VN-2016-003.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

La bibliothèque glibc implémente un résolveur DNS (libresolv).

Une application peut alors appeler la fonction getaddrinfo(), qui interroge les serveurs DNS. Lorsque le type AF_UNSPEC est utilisé dans l'appel à getaddrinfo(), deux requêtes DNS A et AAAA sont envoyées simultanément. Cependant, ce cas particulier et un cas avec AF_INET6 ne sont pas correctement gérés, et conduisent à un débordement si la réponse provenant du serveur DNS dépasse 2048 octets.

Un attaquant, disposant d'un serveur DNS malveillant, peut donc répondre avec des données trop longues à un client utilisant la fonction getaddrinfo() de la glibc, afin de mener un déni de service, et éventuellement d'exécuter du code dans l'application cliente.
Bulletin Vigil@nce complet... (Essai gratuit)

Cette annonce de vulnérabilité informatique concerne les logiciels ou systèmes comme ArubaOS, Blue Coat CAS, Brocade Network Advisor, Brocade vTM, Cisco ASR, Cisco Catalyst, IOS XE Cisco, Nexus par Cisco, NX-OS, Cisco Prime Access Registrar, Cisco Prime DCNM, Secure ACS, Cisco CUCM, Cisco IP Phone, Cisco Wireless IP Phone, Cisco Wireless Controller, XenDesktop, PowerPath, Unisphere EMC, VNX Operating Environment, VNX Series, ExtremeXOS, BIG-IP Hardware, TMOS, Fedora, QRadar SIEM, Trinzic, NSM Central Manager, NSMXpress, McAfee Email Gateway, McAfee MOVE AntiVirus, VirusScan, McAfee Web Gateway, openSUSE, openSUSE Leap, Palo Alto Firewall PA***, PAN-OS, RealPresence Distributed Media Application, Polycom VBP, RHEL, ROX, RuggedSwitch, Slackware, SUSE Linux Enterprise Desktop, SLES, Synology DS***, Synology RS***, Ubuntu, Unix (plateforme) ~ non exhaustif, ESXi, VMware vSphere, VMware vSphere Hypervisor.

Notre équipe Vigil@nce a déterminé que la gravité de ce bulletin de vulnérabilité est critique.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de client internet.

Un démonstrateur ou un outil d'attaque est disponible, donc vos équipes doivent traiter cette alerte. Un attaquant avec un niveau de compétence spécialiste peut exploiter cette vulnérabilité informatique.

Solutions pour cette menace

glibc : patch pour getaddrinfo.
Un patch est indiqué dans les sources d'information.

glibc : contre-mesure pour getaddrinfo.
Une contre-mesure consiste à :
 - Limiter les paquets DNS TCP à 1024 octets au niveau du firewall.
 - Limiter les paquets DNS UDP à 512 octets au niveau du firewall.
 - Ne pas activer "options edns0" dans /etc/resolv.conf (contre-mesure partielle).
 - Ne pas activer RES_USE_EDNS0 ou RES_USE_DNSSEC (contre-mesure partielle).

ArubaOS : versions corrigées pour getaddrinfo.
Les versions corrigées sont indiquées dans les sources d'information.

Blue Coat Content Analysis System : version 1.3.6.1.
La version 1.3.6.1 est corrigée.

Brocade : solution pour multiples vulnérabilités (04/04/2016).
Les versions suivantes corrigent plusieurs vulnérabilités (mais pas CVE-2016-0705) :
  Brocade Network Advisor : installer version 12.4.2 ou 14.0.1.
  Brocade vTM : installer version 9.9r1 ou 10.3r1.
La solution détaillée est indiquée dans les sources d'information.

Brocade Virtual Traffic Manager : versions 9.9r1 et 10.3r1.
Les versions 9.9r1 et 10.3r1 sont corrigées :
  http://www.brocade.com/

Cisco : solution pour getaddrinfo.
La solution est indiquée dans les sources d'information.

Citrix NetScaler, XenDesktop : solution pour getaddrinfo.
La solution est indiquée dans les sources d'information.

EMC PowerPath : solution pour getaddrinfo.
La solution est indiquée dans les sources d'information.

EMC Unisphere Central : solution pour getaddrinfo.
La solution est indiquée dans les sources d'information.

EMC VNXe : solution pour getaddrinfo.
La solution est indiquée dans les sources d'information.

EMC VNX Monitoring and Reporting : solution pour getaddrinfo.
La solution est indiquée dans les sources d'information.

Extreme Networks : solution pour getaddrinfo.
La solution est indiquée dans les sources d'information.

F5 BIG-IP : solution pour getaddrinfo.
La solution est indiquée dans les sources d'information.

Fedora 22 : nouveaux paquetages glibc.
De nouveaux paquetages sont disponibles :
  Fedora 22 : glibc 2.21-11.fc22

Fedora 23 : nouveaux paquetages glibc.
De nouveaux paquetages sont disponibles :
  Fedora 23 : glibc 2.22-9.fc23

IBM QRadar SIEM : patch pour getaddrinfo.
Un patch est indiqué dans les sources d'information.

Infoblox NIOS : versions 6.12.16, 7.1.10, 7.2.6 et 7.3.2.
Les versions 6.12.16, 7.1.10, 7.2.6 et 7.3.2 sont corrigées.

Juniper NSM Appliance : patch pour Upgrade Package v3.
Un patch est disponible :
  http://www.juniper.net/support/downloads/?p=nsm#sw

McAfee : solution pour getaddrinfo.
La solution est indiquée dans les sources d'information.

openSUSE 11.4/13.1 : nouveaux paquetages glibc.
De nouveaux paquetages sont disponibles :
  openSUSE 11.4 : glibc 2.11.3-69.2
  openSUSE 13.1 : glibc 2.18-4.41.1

openSUSE 13.2/42.1 : nouveaux paquetages glibc.
De nouveaux paquetages sont disponibles :
  openSUSE 13.2 : glibc 2.19-16.22.2
  openSUSE Leap 42.1 : glibc 2.19-19.1

PAN-OS : versions 5.0.20, 5.1.13, 6.0.15, 6.1.13, 7.0.8 et 7.1.4.
Les versions 5.0.20, 5.1.13, 6.0.15, 6.1.13, 7.0.8 et 7.1.4 sont corrigées.

Polycom Distributed Media Application : version 6.3.2.
La version 6.3.2 est corrigée :
  http://support.polycom.com/

Polycom VBP 7301 : version 14.2.5.
La version 14.2.5 est corrigée :
  http://support.polycom.com/

RHEL 6.7 : nouveaux paquetages glibc.
De nouveaux paquetages sont disponibles :
  RHEL 6 : glibc 2.12-1.166.el6_7.7

RHEL 6 AUS, 7 EUS : nouveaux paquetages glibc.
De nouveaux paquetages sont disponibles :
  RHEL 6 : glibc 2.12-1.47.el6_2.17, glibc 2.12-1.107.el6_4.9, glibc 2.12-1.132.el6_5.7, glibc 2.12-1.149.el6_6.11
  RHEL 7 : glibc 2.17-79.el7_1.4

RHEL 7.2 : nouveaux paquetages glibc.
De nouveaux paquetages sont disponibles :
  RHEL 7 : glibc 2.17-106.el7_2.4

Siemens ROX : version 2.9.1.
La version 2.9.1 est corrigée :
  https://www.siemens.com/automation/support-request

Slackware : nouveaux paquetages glibc.
De nouveaux paquetages sont disponibles :
  Slackware 14.1 : glibc 2.17-*-11_slack14.1

SUSE LE 11 SP2 : nouveaux paquetages glibc.
De nouveaux paquetages sont disponibles :
  SUSE LE 11 SP2 : glibc 2.11.3-17.45.66.1

SUSE LE : nouveaux paquetages glibc.
De nouveaux paquetages sont disponibles :
  SUSE LE 11 SP3 : glibc 2.11.3-17.95.2
  SUSE LE 11 SP4 : glibc 2.11.3-17.95.2
  SUSE LE 12 RTM : glibc 2.19-22.13.1
  SUSE LE 12 SP1 : glibc 2.19-35.1

Synology DS, RS : version 5.2-5644 Update 5.
La version 5.2-5644 Update 5 est corrigée :
  https://www.synology.com/

Ubuntu : nouveaux paquetages libc6.
De nouveaux paquetages sont disponibles :
  Ubuntu 15.10 : libc6 2.21-0ubuntu4.1
  Ubuntu 14.04 LTS : libc6 2.19-0ubuntu6.7
  Ubuntu 12.04 LTS : libc6 2.15-0ubuntu10.13

VMware ESXi : patch pour getaddrinfo.
Un patch est disponible :
  ESXi 5.5 : ESXi550-201602401-SG

Wind River Linux : solution pour getaddrinfo.
La solution est indiquée dans les sources d'information.
Bulletin Vigil@nce complet... (Essai gratuit)

Service de veille sur les vulnérabilités informatiques

Vigil@nce fournit une base cybersécurité. La cellule de veille technologique suit les menaces sécurité qui ciblent le parc informatique. Chaque administrateur peut personnaliser la liste des produits pour lesquels il souhaite recevoir des alertes de vulnérabilités. Le service de veille sur les vulnérabilités informatiques Vigil@nce alerte vos équipes des failles et des menaces qui concernent votre système d'information.