幽灵漏洞(GHOST)检测方法及修复建议

0x01 前言

成都网站设计、成都做网站服务团队是一支充满着热情的团队，执着、敏锐、追求更好，是创新互联的标准与要求，同时竭诚为客户提供服务是我们的理念。成都创新互联公司把每个网站当做一个产品来开发，精雕细琢，追求一名工匠心中的细致，我们更用心！

昨日，【CVE 2015-0235: GNU glibc gethostbyname 缓冲区溢出漏洞】全面爆发，该漏洞的产生是Qualys公司在进行内部代码审核时，发现了一个在GNU C库(glibc)中存在的__nss_hostname_digits_dots函数导致的缓冲区溢出漏洞。这个bug可以通过gethostbyname *()函数来触发，本地和远程均可行。该漏洞(幽灵漏洞)造成了远程代码执行，攻击者可以利用此漏洞远程获取系统进程当前的权限。

鉴于网上诸多glibc的原理普及，本文章就不多啰嗦了，直接实践如何检测服务器是否存在该漏洞，以及修复漏洞的方法。

0x02 检测是否存在幽灵漏洞(GHOST)

检测方法1【RedHat官方检测方法】：

ghost_check.sh源码:

 
 
 
 
  
  
  
  #!/bin/bash    
  
  
  vercomp () {    
  
  
  if [[ $1 == $2 ]]    
  
  
  then    
  
  
  return 0    
  
  
  fi    
  
  
  local IFS=.    
  
  
  local i ver1=($1) ver2=($2)    
  
  
      # fill empty fields in ver1 with zeros    
  
  
      for ((i=${#ver1[@]}; i<${#ver2[@]}; i++))    
  
  
  do    
  
  
  ver1[i]=0    
  
  
  done    
  
  
      for ((i=0; i<${#ver1[@]}; i++))    
  
  
  do    
  
  
  if [[ -z ${ver2[i]} ]]    
  
  
  then    
  
  
              # fill empty fields in ver2 with zeros    
  
  
  ver2[i]=0    
  
  
  fi    
  
  
          if ((10#${ver1[i]} > 10#${ver2[i]}))    
  
  
  then    
  
  
  return 1    
  
  
  fi    
  
  
          if ((10#${ver1[i]} < 10#${ver2[i]}))    
  
  
  then    
  
  
  return 2    
  
  
  fi    
  
  
  done    
  
  
  return 0    
  
  
  }    
  
  
       
  
  
  glibc_vulnerable_version=2.17    
  
  
  glibc_vulnerable_revision=54   
  
  
  glibc_vulnerable_version2=2.5    
  
  
  glibc_vulnerable_revision2=122   
  
  
  glibc_vulnerable_version3=2.12    
  
  
  glibc_vulnerable_revision3=148   
  
  
  echo "Vulnerable glibc version <=" $glibc_vulnerable_version"-"$glibc_vulnerable_revision    
  
  
  echo "Vulnerable glibc version <=" $glibc_vulnerable_version2"-"$glibc_vulnerable_revision2    
  
  
  echo "Vulnerable glibc version <=" $glibc_vulnerable_version3"-1."$glibc_vulnerable_revision3    
  
  
       
  
  
  glibc_version=$(rpm -q glibc | awk -F"[-.]" '{print $2"."$3}' | sort -u)    
  
  
  if [[ $glibc_version == $glibc_vulnerable_version3 ]]    
  
  
  then    
  
  
  glibc_revision=$(rpm -q glibc | awk -F"[-.]" '{print $5}' | sort -u)    
  
  
  else    
  
  
  glibc_revision=$(rpm -q glibc | awk -F"[-.]" '{print $4}' | sort -u)    
  
  
  fi    
  
  
  echo "Detected glibc version" $glibc_version" revision "$glibc_revision    
  
  
       
  
  
  vulnerable_text=$"This system is vulnerable to CVE-2015-0235.    
  
  
  Update the glibc and ncsd packages on your system using the packages released with the following:    
  
  
  yum install glibc"    
  
  
       
  
  
  if [[ $glibc_version == $glibc_vulnerable_version ]]    
  
  
  then    
  
  
  vercomp $glibc_vulnerable_revision $glibc_revision    
  
  
  elif [[ $glibc_version == $glibc_vulnerable_version2 ]]    
  
  
  then    
  
  
  vercomp $glibc_vulnerable_revision2 $glibc_revision    
  
  
  elif [[ $glibc_version == $glibc_vulnerable_version3 ]]    
  
  
  then    
  
  
  vercomp $glibc_vulnerable_revision3 $glibc_revision    
  
  
  else    
  
  
  vercomp $glibc_vulnerable_version $glibc_version    
  
  
  fi    
  
  
       
  
  
  case $? in    
  
  
      0) echo "$vulnerable_text";;    
  
  
      1) echo "$vulnerable_text";;    
  
  
      2) echo "Not Vulnerable.";;    
  
  
  esac

检测方法2【简单的检测方法】：

检测方法2源码:

 
 
 
 
  
  
  
  /usr/sbin/clockdiff `python -c "print '0' * $((0x10000-16*1-2*4-1-4))"`

检测方法3【二进制检测方法】：

ghost.c源码:

 
 
 
 
  
  
  
  #include    
  
  
  #include    
  
  
  #include    
  
  
  #include    
  
  
  #include    
  
  
       
  
  
  #define CANARY "in_the_coal_mine"    
  
  
       
  
  
  struct {    
  
  
  char buffer[1024];    
  
  
  char canary[sizeof(CANARY)];    
  
  
  } temp = { "buffer", CANARY };    
  
  
       
  
  
  int main(void) {    
  
  
  struct hostent resbuf;    
  
  
  struct hostent *result;    
  
  
  int herrno;    
  
  
  int retval;    
  
  
       
  
  
    /*** strlen (name) = size_needed - sizeof (*host_addr) - sizeof (*h_addr_ptrs) - 1; ***/    
  
  
  size_t len = sizeof(temp.buffer) - 16*sizeof(unsigned char) - 2*sizeof(char *) - 1;    
  
  
  char name[sizeof(temp.buffer)];    
  
  
  memset(name, '0', len);    
  
  
  name[len] = '\0';    
  
  
       
  
  
  retval = gethostbyname_r(name, &resbuf, temp.buffer, sizeof(temp.buffer), &result, &herrno);    
  
  
       
  
  
  if (strcmp(temp.canary, CANARY) != 0) {    
  
  
      puts("vulnerable");    
  
  
  exit(EXIT_SUCCESS);    
  
  
  }    
  
  
  if (retval == ERANGE) {    
  
  
      puts("not vulnerable");    
  
  
  exit(EXIT_SUCCESS);    
  
  
  }    
  
  
    puts("should not happen");    
  
  
  exit(EXIT_FAILURE);    
  
  
  }

#p#

0x03 在线修复方案

CentOS, Red Hat, Fedora等系列衍生版本(RHN建议)：

 
 
 
 
  
  
  
  yum update glibc

Debian, Ubuntu等系列衍生版本：

 
 
 
 
  
  
  
  apt-get clean && apt-get update && apt-get upgrade

#p#

0x04 离线修复方案

Centos6.5离线补丁

先检查本地glibc包安装了哪些相关包

 
 
 
 
  
  
  
  rpm -qa|grep glibc

然后，到阿里源下载对应版本

 
 
 
 
  
  
  
  cat > update.txt << EOF   
  
  
  http://mirrors.aliyun.com/centos/6.6/updates/x86_64/Packages/glibc-2.12-1.149.el6_6.5.i686.rpm    
  
  
  http://mirrors.aliyun.com/centos/6.6/updates/x86_64/Packages/glibc-2.12-1.149.el6_6.5.x86_64.rpm    
  
  
  http://mirrors.aliyun.com/centos/6.6/updates/x86_64/Packages/glibc-common-2.12-1.149.el6_6.5.x86_64.rpm    
  
  
  http://mirrors.aliyun.com/centos/6.6/updates/x86_64/Packages/glibc-devel-2.12-1.149.el6_6.5.x86_64.rpm        
  
  
  http://mirrors.aliyun.com/centos/6.6/updates/x86_64/Packages/glibc-headers-2.12-1.149.el6_6.5.x86_64.rpm    
  
  
  EOF

进行后台断点下载补丁包

 
 
 
 
  
  
  
  wget -b -i update.txt -c

使用yum本地安装

 
 
 
 
  
  
  
  yum localinstall glibc-*

或是rpm安装

 
 
 
 
  
  
  
  rpm -ivUh glibc-*

Red Had系列衍生版本

使用方法参考上文【Centos6.5离线补丁】的修补方法

http://mirrors.aliyun.com/centos/7/updates/x86_64/Packages/glibc-2.17-55.el7_0.5.i686.rpm

http://mirrors.aliyun.com/centos/7/updates/x86_64/Packages/glibc-2.17-55.el7_0.5.x86_64.rpm

0x05 修复完成检测

ghost_check.sh脚本检测

ghost.c脚本检测

注意：打好补丁后必须立即重启操作系统，否则会造成应用业务无法使用。

0x06 参考来源

redhat官方

https://access.redhat.com/articles/1332213

redhat官方补丁介绍:

https://rhn.redhat.com/errata/RHSA-2015-0090.html

https://rhn.redhat.com/errata/RHSA-2015-0092.html

ubuntu官方补丁介绍:

http://www.ubuntu.com/usn/usn-2485-1/

当前标题：幽灵漏洞(GHOST)检测方法及修复建议
分享路径：http://www.zyruijie.cn/qtweb/news16/8716.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源：创新互联

猜你还喜欢下面的内容