L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de glibc : buffer overflow de gethostbyname, GHOST

Synthèse de la vulnérabilité 

Un attaquant peut par exemple envoyer un email utilisant une adresse IPv4 trop longue, pour forcer le serveur de messagerie à résoudre cette adresse, et provoquer un buffer overflow dans gethostbyname() de la glibc, afin de mener un déni de service, et éventuellement d'exécuter du code. De nombreux programmes utilisant gethostbyname() sont vulnérables selon une procédure d'attaque similaire.
Logiciels impactés : Arkoon FAST360, GAiA, CheckPoint IP Appliance, Provider-1, SecurePlatform, CheckPoint Security Gateway, CheckPoint VSX-1, Cisco ASR, Cisco Catalyst, IOS XE Cisco, IOS XR Cisco, Nexus par Cisco, NX-OS, Prime Infrastructure, Cisco CUCM, XenServer, Clearswift Email Gateway, Debian, Unisphere EMC, VNX Operating Environment, VNX Series, Exim, BIG-IP Hardware, TMOS, HPE BSM, HP Operations, Performance Center, Junos Space, McAfee Email and Web Security, McAfee Email Gateway, McAfee MOVE AntiVirus, McAfee NSP, McAfee NTBA, McAfee NGFW, VirusScan, McAfee Web Gateway, openSUSE, Oracle Communications, Palo Alto Firewall PA***, PAN-OS, PHP, HDX, RealPresence Collaboration Server, RealPresence Distributed Media Application, RealPresence Resource Manager, Polycom VBP, RHEL, SIMATIC, Slackware, SUSE Linux Enterprise Desktop, SLES, Synology DSM, Ubuntu, Unix (plateforme) ~ non exhaustif, WordPress Core.
Gravité de cette vulnérabilité informatique : 4/4.
Date de création : 27/01/2015.
Date de révision : 27/01/2015.
Références de cette annonce : 198850, 199399, c04577814, c04589512, CERTFR-2015-AVI-043, cisco-sa-20150128-ghost, cpujul2015, cpujul2017, cpuoct2016, cpuoct2017, cpuoct2018, CTX200437, CVE-2015-0235, DSA-2019-197, DSA-3142-1, ESA-2015-030, ESA-2015-041, GHOST, HPSBGN03270, HPSBGN03285, JSA10671, K16057, KM01391662, MDVSA-2015:039, openSUSE-SU-2015:0162-1, openSUSE-SU-2015:0184-1, PAN-SA-2015-0002, RHSA-2015:0090-01, RHSA-2015:0092-01, RHSA-2015:0099-01, RHSA-2015:0101-01, RHSA-2015:0126-01, SB10100, sk104443, SOL16057, SSA:2015-028-01, SSA-994726, SUSE-SU-2015:0158-1, USN-2485-1, VIGILANCE-VUL-16060, VU#967332.

Description de la vulnérabilité 

La bibliothèque glibc fournit deux fonctions pour obtenir l'adresse IP d'un serveur à partir de son nom DNS :
  struct hostent *gethostbyname(const char *name);
  struct hostent *gethostbyname2(const char *name, int af);

Par exemple :
  he = gethostbyname("www.example.com");

Ces fonctions acceptent aussi de directement travailler sur une adresse IP :
  he = gethostbyname("192.168.1.1");

Cependant, une adresse IPv4 malformée et trop longue comme 192.168.111111.1 (plus de 1024 octets de long) produit un débordement dans la fonction __nss_hostname_digits_dots().

Un attaquant peut donc par exemple envoyer un email utilisant une adresse IPv4 trop longue, pour forcer le serveur de messagerie à résoudre cette adresse, et provoquer un buffer overflow dans gethostbyname() de la glibc, afin de mener un déni de service, et éventuellement d'exécuter du code.

Plusieurs programmes utilisant gethostbyname() sont vulnérables (exim, php, pppd, procmail) selon une procédure d'attaque similaire. Les programmes suivants ne semblent pas être vulnérables : apache, cups, dovecot, gnupg, isc-dhcp, lighttpd, mariadb/mysql, nfs-utils, nginx, nodejs, openldap, openssh, postfix, proftpd, pure-ftpd, rsyslog, samba, sendmail, squid, sysklogd, syslog-ng, tcp_wrappers, vsftpd, xinetd.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cette menace cyber-sécurité concerne les logiciels ou systèmes comme Arkoon FAST360, GAiA, CheckPoint IP Appliance, Provider-1, SecurePlatform, CheckPoint Security Gateway, CheckPoint VSX-1, Cisco ASR, Cisco Catalyst, IOS XE Cisco, IOS XR Cisco, Nexus par Cisco, NX-OS, Prime Infrastructure, Cisco CUCM, XenServer, Clearswift Email Gateway, Debian, Unisphere EMC, VNX Operating Environment, VNX Series, Exim, BIG-IP Hardware, TMOS, HPE BSM, HP Operations, Performance Center, Junos Space, McAfee Email and Web Security, McAfee Email Gateway, McAfee MOVE AntiVirus, McAfee NSP, McAfee NTBA, McAfee NGFW, VirusScan, McAfee Web Gateway, openSUSE, Oracle Communications, Palo Alto Firewall PA***, PAN-OS, PHP, HDX, RealPresence Collaboration Server, RealPresence Distributed Media Application, RealPresence Resource Manager, Polycom VBP, RHEL, SIMATIC, Slackware, SUSE Linux Enterprise Desktop, SLES, Synology DSM, Ubuntu, Unix (plateforme) ~ non exhaustif, WordPress Core.

Notre équipe Vigil@nce a déterminé que la gravité de cette vulnérabilité est critique.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de serveur internet.

Un démonstrateur ou un outil d'attaque est disponible, donc vos équipes doivent traiter cette alerte. Un attaquant avec un niveau de compétence débutant peut exploiter ce bulletin de vulnérabilité.

Solutions pour cette menace 

glibc : version 2.18.
La version 2.18 est corrigée.

glibc : patch pour gethostbyname, GHOST.
Un patch est disponible dans les sources d'information.

Arkoon Fast360 : versions 5.0/33 et 6.0/7.
Les versions 5.0/33 et 6.0/7 sont corrigées :
  https://support-https.arkoon.net/fast360/fast360_migration.php

Check Point : solution pour GHOST.
La solution est indiquée dans les sources d'information.

Cisco : solution pour GHOST.
La solution est indiquée dans les sources d'information.

Citrix XenServer : patch pour ghost.
Un patch par version de XenServer 6 est disponible dans les sources d'information.

Clearswift SECURE Email Gateway : version 3.8.6.
La version 3.8.6 est corrigée :
  http://app-patches.clearswift.net/Patches/Patch3_8_6en.htm

Clearswift SECURE Email Gateway : version 3.8.7.
La version 3.8.7 est corrigée :
  http://app-patches.clearswift.net/Patches/Patch3_8_7en.htm

Debian : nouveaux paquetages eglibc.
De nouveaux paquetages sont disponibles :
  Debian 7 : eglibc 2.13-38+deb7u7

Dell EMC VNXe : version MR4 Service Pack 5.
La version MR4 Service Pack 5 est corrigée :
  https://www.dell.com/support/

EMC Unisphere : solution pour GHOST.
La solution est indiquée dans les sources d'information.

EMC VNXe1 MR4 : solution pour GHOST.
La solution est indiquée dans les sources d'information.

Exim : contre-mesure pour GHOST.
Une contre-mesure consiste à désactiver l'analyse des commandes HELO/EHLO.

F5 : solution pour GHOST.
La solution est indiquée dans les sources d'information.

HP OAVA, vPV VA, OMi VA : solution pour GHOST.
La solution est indiquée dans les sources d'information.

HP Operations Analytics : solution pour GHOST.
La solution est indiquée dans les sources d'information.

Juniper : solution pour GHOST.
La solution est indiquée dans les sources d'information.

Mandriva : nouveaux paquetages glibc.
De nouveaux paquetages sont disponibles :
  Mandriva BS1 : glibc 2.14.1-12.11.mbs1

McAfee : solution pour GHOST.
La solution est indiquée dans les sources d'information.

Novell Sentinel : version 7.3.0.0.
La version 7.3.0.0 est corrigée :
  https://download.novell.com/Download?buildid=WA2o2ZIiUMM~

openSUSE : nouveaux paquetages glibc.
De nouveaux paquetages sont disponibles :
  openSUSE 11.4 : glibc 2.11.3-12.62.1
  openSUSE 12.3 : glibc 2.17-4.17.1

Oracle Communications : CPU de juillet 2015.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2024564.1
  https://support.oracle.com/rs?type=doc&id=2030705.1

Oracle Communications : CPU de juillet 2017.
Un Critical Patch Update est disponible.

Oracle Communications : CPU de octobre 2016.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2188694.1

Oracle Communications : CPU de octobre 2017.
Un Critical Patch Update est disponible.

Oracle Communications : CPU de octobre 2018.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2451363.1
  https://support.oracle.com/rs?type=doc&id=2450339.1
  https://support.oracle.com/rs?type=doc&id=2450354.1
  https://support.oracle.com/rs?type=doc&id=2450340.1
  https://support.oracle.com/rs?type=doc&id=2452772.1
  https://support.oracle.com/rs?type=doc&id=2451007.1

PAN-OS : version 7.0.0.
La version 7.0.0 est corrigée :
  https://www.paloaltonetworks.com/

PHP : contre-mesure pour GHOST.
Une contre-mesure consiste à filtrer les paramètres de gethostbyname() qui sont plus longs que 255 caractères.

Polycom : solution pour GHOST.
La solution est indiquée dans les sources d'information.

Polycom : versions corrigées pour GHOST.
Les versions corrigées sont indiquées dans les sources d'information.

RHEL 6 RHEV Hypervisor : nouveaux paquetages rhev-hypervisor6.
De nouveaux paquetages sont disponibles :
  RHEL 6 : rhev-hypervisor6 6.6-20150123.1.el6ev

RHEL : nouveaux paquetages glibc.
De nouveaux paquetages sont disponibles :
  RHEL 4 : glibc 2.3.4-2.57.el4.2
  RHEL 5 : glibc 2.5-123.el5_11.1
  RHEL 6 : glibc 2.12-1.149.el6_6.5
  RHEL 7 : glibc 2.17-55.el7_0.5

SIMATIC : solution pour GHOST.
La solution est indiquée dans les sources d'information.

Slackware : nouveaux paquetages glibc.
De nouveaux paquetages sont disponibles :
  Slackware 13.0 : glibc 2.9-*-7_slack13.0
  Slackware 13.1 : glibc 2.11.1-*-9_slack13.1
  Slackware 13.37 : glibc 2.13-*-8_slack13.37
  Slackware 14.0 : glibc 2.15-*-9_slack14.0
  Slackware 14.1 : glibc 2.17-*-10_slack14.1

SUSE LE : nouveaux paquetages glibc.
De nouveaux paquetages sont disponibles :
  SUSE LE 10 : glibc 2.4-31.113.3
  SUSE LE 11 SP1 : glibc 2.11.1-0.60.1
  SUSE LE 11 SP2 : glibc 2.11.3-17.45.55.5
  SUSE LE 11 SP3 : glibc 2.11.3-17.74.13

Synology DSM : patch pour GHOST.
Un patch est disponible :
  https://www.synology.com/

Ubuntu : nouveaux paquetages libc6.
De nouveaux paquetages sont disponibles :
  Ubuntu 12.04 LTS : libc6 2.15-0ubuntu10.10
  Ubuntu 10.04 LTS : libc6 2.11.1-0ubuntu7.20
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit un correctif de vulnérabilité informatique. L'équipe Vigil@nce surveille les vulnérabilités informatiques de systèmes et d'applications.