Beratungs-ID vasco-sa-20160223-glibc
Revisionsnummer 1.0
Erscheinungsdatum 23. Februar 2016, 12:00 Uhr UTC + 1
Letztes Update 23. Februar 2016, 12:00 Uhr UTC + 1
Zusammenfassung
Am Dienstag, den 16. Februar 2016, veröffentlichten die Google-Ingenieure einen Blogbeitrag zu einer Sicherheitslücke, die in allen Versionen von glibc seit 2.9 gefunden wurde. In dem Blogbeitrag wird erläutert, dass der clientseitige glibc DNS-Resolver für einen stapelbasierten Pufferüberlauf anfällig ist, wenn die Bibliotheksfunktion getaddrinfo () verwendet wird. Software, die diese Funktion verwendet, kann mit von Angreifern kontrollierten Domänennamen, von Angreifern kontrollierten DNS-Servern oder durch einen Man-in-the-Middle-Angriff ausgenutzt werden.
Betroffene Produkte
Folgende Produkte sind von der Sicherheitsanfälligkeit CVE-2015-7547 betroffen:
- IDENTIKEY Federation Server 1.6
- IDENTIKEY Appliance 3.4.5.0 und höher
- AXSGUARD Gatekeeper 7.7.0 und höher
Obwohl in diesen Produkten die anfällige Version von glibc verwendet wird, bewertet OneSpan die Ausnutzbarkeit aufgrund der Art und Weise, wie der clientseitige DNS-Resolver in den Produkten verwendet wird, als gering.
Beschreibung
Die folgende Beschreibung der Sicherheitsanfälligkeit wurde aus der NIST National Vulnerability Database extrahiert:
„Mehrere stapelbasierte Pufferüberläufe in den Funktionen (1) send_dg und (2) send_vc in der Bibliothek libresolv in der GNU C-Bibliothek (auch bekannt als glibc oder libc6) vor 2.23 ermöglichen es Angreifern von Remotestandorten, einen Denial-of-Service (Absturz) oder möglicherweise zu verursachen Führen Sie beliebigen Code über eine gestaltete DNS-Antwort aus, die einen Aufruf der Funktion getaddrinfo mit der Adressfamilie AF_UNSPEC oder AF_INET6 auslöst, die sich auf die Ausführung von "dualen A / AAAA-DNS-Abfragen" und dem NSS-Modul libnss_dns.so.2 bezieht.
Severity Score
Die folgende Tabelle gibt den CVSS 2.0-Schwachstellenwert der Schwachstelle CVE-2015-7547 an.
| CVSS Base Score: 6,8 (mittel) | |||||
| Greifen Sie auf Vector zu | Zugriffskomplexität | Authentifizierung | Vertraulichkeitswirkung | Auswirkungen auf die Integrität | Auswirkungen auf die Verfügbarkeit |
| Netzwerk | Mittel | Keiner | Teilweise | Teilweise | Teilweise |
Produktkorrekturen
OneSpan wird die Sicherheitsanfälligkeit CVE-2015-7547 in den folgenden kommenden Versionen beheben:
- IDENTIKEY Federation Server 1.6.1 (wird im ersten Quartal 2016 veröffentlicht)
- IDENTIKEY (Virtual) Appliance 3.10.11.0 (erscheint im zweiten Quartal 2016)
- AXSGUARD GateKeeper 8.2.1 (erscheint im zweiten Quartal 2016)
OneSpan empfiehlt Kunden, IDENTIKEY Authentication Server zu verwenden, um die glibc-Bibliothek mithilfe des Aktualisierungssystems ihrer Distribution zu aktualisieren.
Ort
Für aXsGUARD Gatekeeper-Produkte:
- OneSpan stellt Patches über den automatisierten Update-Service bereit. Kunden, die ihrem System nicht erlauben, Updates über diesen Dienst zu erhalten, sollten sich an OneSpan wenden, um Anweisungen zum Erhalt des Patches zu erhalten.
Für andere Produkte:
- Kunden mit einem Wartungsvertrag können feste Produktfreigaben von MyMaintenance erhalten. Kunden ohne Wartungsvertrag sollten sich an ihren örtlichen Vertriebsmitarbeiter wenden.
Referenz
Zusätzliche Ressourcen:
- CVE-2015-7547
- Google Online-Sicherheitsblog
Haftungsausschluss
WÄHREND JEDER ANGEMESSENE AUFWAND GEMACHT WIRD, UM GENAUE INFORMATIONEN ZU VERARBEITEN UND ZUR VERFÜGUNG ZU STELLEN, WERDEN ALLE INHALTE UND INFORMATIONEN IN DIESEM DOKUMENT "WIE BESEHEN" UND "WIE VERFÜGBAR" UND OHNE AUSDRÜCKLICHE ODER STILLSCHWEIGENDE GARANTIE VON CUR VOLLSTÄNDIGKEIT ODER EIGNUNG ODER JEGLICHE GEWÄHRLEISTUNG, EINSCHLIESSLICH DER GEWÄHRLEISTUNG DER MARKTGÄNGIGKEIT ODER EIGNUNG FÜR EINEN BESTIMMTEN GEBRAUCH ODER ZWECK. DIE NUTZUNG DIESES DOKUMENTS, DER ZUR VERFÜGUNG GESTELLTEN INFORMATIONEN ODER DER MIT DIESEM DOKUMENT VERBUNDENEN MATERIALIEN ERFOLGT AUF EIGENES RISIKO. VASCO behält sich das Recht vor, die Informationen in diesem Dokument jederzeit und nach eigenem Ermessen zu ändern oder zu aktualisieren, sofern neue oder zusätzliche Informationen verfügbar werden. Copyright © 2016 VASCO Data Security, Inc., VASCO Data Security International GmbH. Alle Rechte vorbehalten.
CVE-2015-7547-Sicherheitsanfälligkeit in OneSpan-Produkten s