glibc GHOST-Sicherheitslücke in OneSpan-Produkten

Beratungs-ID vasco-sa-20150202-ghost

Revisionsnummer 1.0

Erscheinungsdatum 04. Februar 2015 13:50 UTC + 1

Letztes Update 04. Februar 2015 13:50 UTC + 1

Zusammenfassung

Am 27. Januar 2015 kündigten Sicherheitsforscher von Qualys öffentlich eine Sicherheitslücke in der GNU C-Bibliothek an, die als glibc bekannt ist. Die Sicherheitsanfälligkeit, die allgemein als GHOST bezeichnet wird, kann es einem nicht authentifizierten, lokalen oder entfernten Angreifer ermöglichen, die Kontrolle über Systeme zu übernehmen. Die erste anfällige Version der GNU C Library ist glibc-2.2, die am 10. November 2000 veröffentlicht wurde.

Betroffene Produkte

Folgende Produkte sind von der GHOST-Sicherheitsanfälligkeit betroffen:

  • IDENTIKEY Federation Server 1.4, 1.5
  • IDENTIKEY Appliance (alle Versionen)
  • aXsGUARD Gatekeeper (alle Versionen)

Beschreibung

Die GNU C-Bibliothek glibc ist die Implementierung der Standardbibliothek der Programmiersprache C durch das GNU-Projekt. Die C-Standardbibliothek bietet grundlegende Funktionen für die Interaktion mit Betriebssystemdiensten, die Eingabe- / Ausgabeverarbeitung, die Speicherzuweisung und andere Arten von Funktionen.

Die GNU C-Bibliothek enthält eine Funktion namens __nss_hostname_digits_dots (), die von den Funktionen gethostbyname () und gethostbyname2 () verwendet wird. Mit den beiden letztgenannten Funktionen können Anwendungen DNS-Abfragen auflösen.

Die Funktion __nss_hostname_digits_dots () enthält einen Heap-basierten Pufferüberlauf. Ein lokaler oder entfernter Angreifer kann diese Sicherheitsanfälligkeit verwenden, um beliebigen Code mit den Berechtigungen des Benutzers auszuführen, der die Anwendung ausführt.

Die Funktionen gethostbyname () und gethostbyname2 () sind jedoch seit ungefähr fünfzehn Jahren veraltet, hauptsächlich wegen mangelnder Unterstützung von IPv6.

Die Sicherheitsanfälligkeit wird allgemein als GHOST bezeichnet und hat die CVE-ID CVE-2015-0235 (Common Vulnerabilities and Exposures) erhalten.

Severity Score

Die folgende Tabelle gibt den CVSS 2.0-Schwachstellenwert der verschiedenen Schwachstellen an.
 

CVSS Base Score: 10.0

Greifen Sie auf Vector zu

Zugriffskomplexität

Authentifizierung Vertraulichkeitswirkung Auswirkungen auf die Integrität Auswirkungen auf die Verfügbarkeit
Netzwerk Niedrig Keiner Komplett Komplett Komplett

 

Produktkorrekturen

OneSpan wird folgende Patches veröffentlichen:

  • IDENTIKEY Federation Server 1.4.5 und 1.5.4 am 6. Februar 2015
  • IDENTIKEY Appliance 3.8.9.0 im April 2015
  • Für aXsGUARD Gatekeeper 8.1.0: Hotfix 001 am 6. Februar 2015

OneSpan empfiehlt Kunden, IDENTIKEY Authentication Server 3.4 SR1 und 3.5 für ein Upgrade auf Version 3.6 zu verwenden. OneSpan empfiehlt Kunden, IDENTIKEY Authentication Server 3.6 zu verwenden, um die glibc-Bibliothek mithilfe des Aktualisierungssystems ihrer Distribution zu aktualisieren.

Ort

Für aXsGUARD Gatekeeper-Produkte:

OneSpan stellt Patches über den automatisierten Update-Service bereit. Kunden, die nicht zulassen, dass ihr System über diesen Service aktualisiert wird, sollten sich an OneSpan wenden, um Anweisungen zum Erhalt des Patches zu erhalten.

Für andere Produkte

Kunden mit einem Wartungsvertrag können feste Produktfreigaben von MyMaintenance erhalten. Kunden ohne Wartungsvertrag sollten sich an ihren örtlichen Vertriebsmitarbeiter wenden.

Referenz

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0235

Haftungsausschluss

WÄHREND JEDER ANGEMESSENE AUFWAND GEMACHT WIRD, UM GENAUE INFORMATIONEN ZU VERARBEITEN UND ZUR VERFÜGUNG ZU STELLEN, WERDEN ALLE INHALTE UND INFORMATIONEN IN DIESEM DOKUMENT "WIE BESEHEN" UND "WIE VERFÜGBAR" UND OHNE AUSDRÜCKLICHE ODER STILLSCHWEIGENDE GARANTIE VON CUR VOLLSTÄNDIGKEIT ODER EIGNUNG ODER JEGLICHE GEWÄHRLEISTUNG, EINSCHLIESSLICH DER GEWÄHRLEISTUNG DER MARKTGÄNGIGKEIT ODER EIGNUNG FÜR EINEN BESTIMMTEN GEBRAUCH ODER ZWECK. DIE NUTZUNG DIESES DOKUMENTS, DER ZUR VERFÜGUNG GESTELLTEN INFORMATIONEN ODER DER MIT DIESEM DOKUMENT VERBUNDENEN MATERIALIEN ERFOLGT AUF EIGENES RISIKO. VASCO behält sich das Recht vor, die Informationen in diesem Dokument jederzeit und nach eigenem Ermessen zu ändern oder zu aktualisieren, sofern neue oder zusätzliche Informationen verfügbar werden.

Copyright © 2015 VASCO Data Security, Inc., VASCO Data Security International GmbH. Alle Rechte vorbehalten.

🖨 glibc GHOST-Sicherheitslücke in OneSpan-Produkten